DeepLoadi pahavara
Äsja tuvastatud rünnakukampaania kasutab nakatumise algatamiseks ClickFixi sotsiaalse manipuleerimise tehnikat. Ohvreid manipuleeritakse pahatahtlike PowerShelli käskude käivitamiseks, kleepides need Windowsi käivitamisdialoogi, teeseldes, et lahendatakse väljamõeldud süsteemiprobleem. See esimene samm kasutab legitiimset Windowsi utiliiti mshta.exe, et hankida ja käivitada hägustatud PowerShelli-põhine laadur.
Sisukord
Hägusus, mis on loodud kõrvalehoidmiseks
PowerShelli laadur varjab oma tegelikku eesmärki liigsete ja mõttetute muutujate määramiste abil, mis raskendab oluliselt staatilist analüüsi. Tõendid viitavad sellele, et selle hägustuskihi loomiseks kasutati tõenäoliselt tehisintellekti tööriistu, mis suurendas selle keerukust. See lähenemisviis võimaldab pahavaral mööda hiilida traditsioonilistest tuvastusmehhanismidest, säilitades samal ajal operatsiooni terviklikkuse.
Varjatud läbi süsteemi kamuflaaži
DeepLoad on spetsiaalselt loodud sujuvalt sulanduma Windowsi tavapärastesse toimingutesse. Kasulik koormus on peidetud käivitatavasse faili nimega LockAppHost.exe, mis on legitiimne protsess, mis vastutab Windowsi lukustuskuva haldamise eest. Selle olemasolu veelgi varjamiseks keelab pahavara PowerShelli käskude ajaloo ja käivitab otse Windowsi põhifunktsioone, selle asemel et tugineda standardsetele PowerShelli käskudele. See tehnika võimaldab tal vältida PowerShelli tegevust jälgivaid jälgimissüsteeme.
Failita tehnikad ja dünaamiline kasuliku koormuse genereerimine
Tuvastamise minimeerimiseks väldib DeepLoad järjepidevate artefaktide kettale jätmist. See genereerib dünaamiliselt PowerShelli funktsiooni Add-Type abil sekundaarse komponendi, kompileerides C# koodi ajutiseks DLL-failiks, mis salvestatakse kasutaja Temp-kataloogi. Iga käivitamine loob unikaalselt nimetatud faili, möödudes tõhusalt failipõhistest tuvastusmeetoditest, mis tuginevad teadaolevatele signatuuridele.
Täiustatud süstimine salajaseks hukkamiseks
Peamine kõrvalehoidumisstrateegia hõlmab asünkroonse protseduurikõne (APC) süstimist. Pahavara käivitab peatatud olekus legitiimse Windowsi protsessi, süstib otse mällu kestakoodi ja jätkab täitmist. See meetod tagab, et pahatahtlik fail töötab usaldusväärse protsessi piires ilma dekodeeritud versiooni kettale kirjutamata, vähendades oluliselt selle kohtuekspertiisi jalajälge.
Püsivad volituste varguse mehhanismid
DeepLoad on loodud tundlike kasutajaandmete hankimiseks kohe pärast käivitamist. Selle võimaluste hulka kuuluvad:
- Salvestatud brauseriparoolide hankimine otse nakatunud süsteemist
- Pahatahtliku brauserilaienduse juurutamine, mis jäädvustab sisselogimiskatsete ajal reaalajas mandaate ja jääb püsima erinevate seansside vahel, kui seda käsitsi ei eemaldata.
Külgmine levik eemaldatava andmekandja kaudu
Pahavara sisaldab eemaldatavate salvestusseadmete ärakasutamiseks mõeldud levitustehnikaid. USB-draivide või sarnaste andmekandjate tuvastamisel kopeerib see pahatahtlikke otseteefaile, mis on maskeeritud seaduslikeks installijateks. Need failid on nimetatud usaldusväärseks, suurendades kasutaja sekkumise ja edasise nakatumise tõenäosust.
Vaikne taasnakatamine WMI kuritarvitamise kaudu
DeepLoad loob püsivuse Windows Management Instrumentationi (WMI) abil. See loob sündmuste tellimused, mis käivitavad uuesti nakatumise kolme päeva pärast, ilma et oleks vaja kasutaja sekkumist ega ründaja kaasamist. See tehnika häirib ka traditsioonilisi tuvastusmudeleid, lõhkudes eeldatavad vanema-lapse protsesside suhted.
Strateegiline eesmärk: Täielik tapmisahela katvus
DeepLoadi üldine ülesehitus viitab multifunktsionaalsele pahavara raamistikule, mis on võimeline teostama toiminguid kogu küberrünnakute ahelas. Selle operatiivstrateegia keskendub järgmisele:
- Kettapõhiste artefaktide vältimine avastamisvõimaluste vähendamiseks
- Pahatahtliku tegevuse segamine õigustatud Windowsi protsessidega
- Levitab kiiresti süsteemide vahel, et oma jalajälge laiendada
Skaleeritava ohuraamistiku näitajad
DeepLoadiga seotud infrastruktuur ja modulaarne disain viitavad jagatud või teenusepõhise juurutamismudeli võimalusele. Kuigi omadused on kooskõlas pahavara teenusena (MaaS) pakkumistega, pole praegu piisavalt tõendeid selle klassifikatsiooni lõplikuks kinnitamiseks.
