Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Pahavara VOID#GEIST pahavara

VOID#GEIST pahavara

Aastaks Mezo aastal Pahavara, Kaughaldustööriistad
Tõlgi:

Küberturvalisuse uurijad on paljastanud keeruka mitmeastmelise pahavarakampaania, mis tugineb krüptitud kaugjuurdepääsuga troojalaste (RAT) koormuste edastamiseks partiiskriptidele. Kampaania, mis on identifitseeritud kui VOID#GEIST, kasutab mitmeid RAT-perekondi, sealhulgas XWorm, AsyncRAT ja Xeno RAT.

Rünnakuahel kasutab hägustatud partiiskripti, mis käivitab tuvastamise vältimiseks mõeldud toimingute jada. Nende toimingute hulka kuuluvad täiendava partiiskripti käivitamine, legitiimse manustatud Pythoni käituskeskkonna ettevalmistamine ja krüptitud kestakoodi kasuliku koormuse dekrüpteerimine. Kestkood käivitatakse otse mälus pärast seda, kui see on süstitud Windowsi protsessi explorer.exe eraldi eksemplaridesse, kasutades tehnikat, mida tuntakse varajase linnu asünkroonse protseduurikutse (APC) süstimisena.

Skriptipõhine pahavara edastamine: tänapäevane ohumudel

Tänapäevased ohutegijad loobuvad üha enam traditsioonilisest eraldiseisvast käivitatavast pahavarast ja eelistavad kihilisi, skriptipõhiseid edastusraamistikke, mis jäljendavad legitiimset kasutajakäitumist. Tavapäraste kaasaskantavate käivitatavate (PE) binaarfailide asemel loovad ründajad mitmekomponendilisi torujuhtmeid, mis ühendavad mitmeid legitiimseid tehnoloogiaid ja skriptimiskeskkondi.

Nendes raamistikes kasutatavate tüüpiliste komponentide hulka kuuluvad:

  • Nakatumisjada orkestreerimiseks kasutatavad partiiskriptid.
  • PowerShelli käsud, mis hõlbustavad varjatud kasuliku koormuse ettevalmistamist.
  • Sisseehitatud legitiimsed käituskeskkonnad, mis tagavad süsteemidevahelise kaasaskantavuse.
  • Püsivuse ja kontrolli säilitamiseks otse mälus käivitatav toores kestakood.

See failideta käivitamise lähenemisviis vähendab oluliselt kettapõhise tuvastamise võimalusi. Iga üksik etapp tundub iseseisvalt uurituna suhteliselt kahjutu ja sarnaneb sageli tavapärase haldustegevusega, võimaldades ohutegelastel tegutseda ohustatud keskkondades ilma koheseid turvahoiatusi tekitamata.

Esialgne juurdepääs andmepüügi ja Cloudflare’i infrastruktuuri kaudu

Rünnaku sisenemispunkt algab pahatahtliku partiiskriptiga, mis edastatakse andmepüügimeilide kaudu. Skript hangitakse TryCloudflare'i domeenil asuvast infrastruktuurist. Pärast käivitamist väldib skript teadlikult õiguste eskaleerimise katseid ja tegutseb selle asemel rangelt sisselogitud kasutaja õiguste piirides.

See strateegia võimaldab pahavaral saavutada esialgse jalgealuse positsiooni, sulandudes samal ajal tavapäraste kasutajatasandi toimingutega. Vältides toiminguid, mis nõuavad kõrgendatud õigusi, vähendab rünnak turvahoiatuste või administratiivsete viipade käivitamise tõenäosust.

Visuaalne tähelepanu hajutamine ja varjatud teostustehnikad

Pärast käivitamist käivitab pahavara esimeses etapis ohvri tähelepanu kõrvalejuhtimiseks peibutusdokumendi. Google Chrome avatakse täisekraanrežiimis, et kuvada PDF-failina esitatud finantsdokumenti või arvet. Samal ajal kui kasutaja dokumendile keskendub, jätkub pahatahtlik tegevus taustal.

Samal ajal käivitatakse PowerShelli käsk, mis taaskäivitab algse partiiskripti peidetud täitmisparameetritega. Parameetri -WindowStyle Hidden kasutamine takistab nähtava konsooliakna ilmumist, tagades, et pahatahtlik tegevus jääb kasutaja eest varjatuks.

Püsivus kasutaja tasemel käivitamise kaudu

Süsteemi taaskäivitamise järgselt püsivuse säilitamiseks paigutab pahavara Windowsi kasutaja käivituskataloogi abipaketiskripti. See asukoht tagab skripti automaatse käivitamise iga kord, kui ohver süsteemi sisse logib.

See püsivusmehhanism on tahtlikult peen. Selle asemel, et kasutada pealetükkivamaid tehnikaid, nagu süsteemi registrivõtmete muutmine, ajastatud ülesannete loomine või teenuste installimine, tugineb pahavara eranditult tavapärasele kasutajataseme käivituskäitumisele. Kuna see lähenemisviis toimib täielikult praeguse kasutaja õiguste kontekstis, väldib see õiguste eskaleerimise viipade käivitamist ja vähendab registri jälgimistööriistade poolt tuvastamise tõenäosust.

Kasuliku koormuse hankimise ja dekrüpteerimise raamistik

Nakatumise ahela järgmises etapis võtab pahavara ühendust TryCloudflare'i domeeniga, et hankida täiendavaid ZIP-arhiividesse pakitud kasuliku sisu komponente. Need arhiivid sisaldavad mooduleid, mis on vajalikud lõplike pahavara kasulike sisude dekrüpteerimiseks ja käivitamiseks.

Allalaaditud arhiiv sisaldab tavaliselt järgmisi komponente:

  • runn.py – Pythoni-põhine laadur, mis vastutab krüpteeritud kestakoodi moodulite dekrüpteerimise ja mällu sisestamise eest
  • new.bin – XWormiga seotud krüpteeritud shellkoodi kasulik koormus
  • xn.bin – krüpteeritud shellkoodi kasulik koormus, mis vastab Xeno RAT-ile
  • pul.bin – AsyncRAT-ile vastav krüpteeritud shellkoodi kasulik koormus
  • a.json, n.json ja p.json – võtmefailid, mida Pythoni laadur kasutab kestakoodi kasulike koormuste dünaamiliseks dekrüpteerimiseks käitusaja jooksul

See modulaarne disain võimaldab ründajatel erinevaid kasulikke koormusi iseseisvalt lavastada ja neid aktiveerida ainult vajaduse korral.

Sisseehitatud Pythoni käituskeskkond kaasaskantavuse ja varjatuse tagamiseks

Kui arhiiv on lahti pakitud, juurutab pahavara legitiimse manustatud Pythoni käituskeskkonna, mis on hangitud otse saidilt python.org. Legitiimse interpretaatori manustamine välistab igasuguse sõltuvuse mis tahes Pythoni installist, mis võib juba ohustatud süsteemis olemas olla.

Ründaja vaatenurgast pakub see samm mitmeid strateegilisi eeliseid. Pahavarast saab iseseisev täitmiskeskkond, mis on võimeline dekrüpteerima ja sisestama kasulikke koormusi ilma väliste sõltuvusteta. See parandab teisaldatavust erinevate süsteemide vahel, suurendab töökindlust ja aitab kaasa operatiivsele varjamisele, kasutades legitiimseid tarkvarakomponente.

Mitme RAT-i kasuliku koormuse mälusisene täitmine

Seejärel kasutatakse manustatud Pythoni käituskeskkonda runn.py laadur skripti käivitamiseks. Laadur dekrüpteerib XWormiga seotud kestakoodi ja süstib selle Early Bird APC süstimise abil explorer.exe töötavasse eksemplari.

Xeno RAT-i juurutamiseks kasutab pahavara legitiimset Microsofti binaarfaili nimega AppInstallerPythonRedirector.exe, mida kasutatakse Pythoni käivitamiseks ja vajalike komponentide käivitamiseks. Sama süstimistehnikat kasutatakse seejärel AsyncRAT-i juurutamiseks, tagades, et kõik kasulikud koormused täidetakse täielikult mälus, jätmata kettale traditsioonilisi käivitatavaid artefakte.

Juhtimis- ja kontrollsignaal ja modulaarne arhitektuur

Rünnaku viimane etapp hõlmab minimaalse HTTP-majaka saatmist ründaja kontrollitavale TryCloudflare'is majutatud juhtimis- ja juhtimissüsteemi (C2) infrastruktuurile. See majakas kinnitab, et süsteemi on edukalt rikutud ja see on valmis edasiste juhiste vastuvõtmiseks.

Kuigi kampaania konkreetsed sihtmärgid on teadmata, on nakatumisahel väga modulaarne. Ühe suure pahavara koormuse juurutamise asemel lisavad ründajad komponente järk-järgult mitmes etapis. See disain parandab tegevuse paindlikkust ja vastupidavust.

Avastamise seisukohast ilmneb kogu kampaania vältel üks tähelepanuväärne käitumuslik näitaja: korduv protsesside süstimine explorer.exe-sse lühikeste ajavahemike jooksul. See muster võib olla tugevaks signaaliks kaitsjatele, kes üritavad seostada kahtlast tegevust rünnaku elutsükli eri etappides.

Trendikas

Enim vaadatud

Laadimine...