Snip3 Loader

मॉर्फिसक के शोधकर्ताओं ने एक नए खतरे और अत्यधिक परिष्कृत मैलवेयर खतरे की खोज की है जिसे उन्होंने 'स्निप 3' क्रिप्ट नाम दिया है। यह धमकी एक क्रिप्टोर-ए-इन-सर्विस योजना में दी गई है और इसका उपयोग चल रहे आक्रमण अभियानों में किया जा रहा है जो कई आरएटी (रिमोट एक्सेस ट्रोजन) उपभेदों को समझौता मशीनों पर अंतिम पेलोड के रूप में वितरित करते हैं। Snip3 लोडर की सबसे शक्तिशाली विशेषताएं इसकी पहचान-परिहार और कई उन्नत तकनीकों पर आधारित विश्लेषण-विरोधी क्षमताएं हैं, जैसे पावर रिमेल कोड को otes रीमोटेश्ड ’पैरामीटर के साथ निष्पादित करना, रनिंग के लिए Pastebin और top4top का उपयोग करना, रनटाइम में रनपीस लोडर संकलित करना, और विंडोज सैंडबॉक्स और VMWare वर्चुअलाइजेशन के लिए जाँच।

हमले की श्रृंखला कई चरणों से युक्त होती है जिसमें प्रारंभिक हमले वेक्टर को फ़िशिंग ईमेल के माध्यम से प्रसारित किया जाता है। लालच संदेश एक भ्रष्ट विजुअल बेसिक फ़ाइल को डाउनलोड करने में लक्षित उपयोगकर्ता को बरगलाने की कोशिश करते हैं। कुछ उदाहरणों में, खतरे के अभिनेताओं ने अपने मैलवेयर टूल के वितरण को छिपाने के लिए एक बड़ी इंस्टॉल फ़ाइल का उपयोग किया।

Snip3 हमले की प्रारंभिक अवस्था

पहले चरण में एक वीबी स्क्रिप्ट की तैनाती शामिल है जो मैलवेयर हमले के अगले चरण को रोकने और आरंभ करने के लिए जिम्मेदार है - एक दूसरा चरण पावरस्ले स्क्रिप्ट। Infosec शोधकर्ताओं ने 11 सब-संस्करणों के साथ VB स्क्रिप्ट के चार मुख्य संस्करणों की पहचान करने में कामयाबी हासिल की है। 4 संस्करणों को विभेदित करता है, अगले-ऋषि पॉवरशेल को लोड करने के लिए उपयोग की जाने वाली सटीक विधि है, जबकि उप-संस्करण अलग-अलग अवरोधों के प्रकारों को नियोजित करते हैं। यह ध्यान दिया जाना चाहिए कि इस प्रारंभिक चरण में, खतरे के अभिनेता ने कुछ संस्करणों में देखी गई एक अनूठी तकनीक को लागू किया है - स्क्रिप्ट पावरशेल को '-RemoteSigned' पैरामीटर के साथ कमांड के रूप में निष्पादित करता है।

Snip3 ऑपरेशन का दूसरा चरण

दूसरा चरण मुख्य रूप से यह सुनिश्चित करने के लिए घूमता है कि मैलवेयर को एक आभासी वातावरण में निष्पादित नहीं किया जा रहा है। यदि सब कुछ अपेक्षाओं के भीतर होता है, तो PowerShell स्क्रिप्ट RUnPE को लोड करने के लिए आगे बढ़ेगी, एक चयनित विंडोज प्रक्रिया के भीतर चिंतनशील रूप से चयनित RAT पेलोड को निष्पादित करने के लिए।

Snipe3 जंगली में देखे जाने वाले सामान्य कोड की तुलना में जब Microsoft सैंडबॉक्स का पता लगाने में सक्षम नहीं है, तो अतिरिक्त एंटी-वीएम उपायों से लैस है। VMWare, VirtualBox, या Windows Sandbox जैसे किसी भी संभावित VM के लिए जाँच करने के लिए, PowerShell स्क्रिप्ट निर्माता स्ट्रिंग को निकालता है और इसे हार्डकोड स्ट्रिंग्स की सूची से तुलना करता है। Sandboxie वातावरण का पता लगाने के लिए, मैलवेयर S DLDll.dll नामक DLL के हैंडल को हल करने का प्रयास करता है। यदि कोई VM पाया जाता है, तो मैलवेयर RAT पेलोड वितरित किए बिना अपने संचालन को समाप्त कर देता है।

एक आरएटी खतरे की तैनाती

Snip3 के संचालन का अंतिम चरण खतरे को संक्रमित प्रणाली के लिए चयनित RAT मैलवेयर वितरित करता है। आमतौर पर अन्य धमकी भरे अभियानों में जो देखा जाता है, उससे डिलीवरी तंत्र अलग होता है। Snip3 रन टाइम में संकलित एक एम्बेडेड और संपीड़ित (GZIP) स्रोत कोड को ले जाकर अपनी चोरी पर दोगुना हो जाता है। यह स्रोत कोड NYAN-x-CAT नामक GitHub रिपॉजिटरी से रनपीस का एक संशोधित संस्करण प्रतीत होता है।

अब तक, कई RAT खतरों को Snip3 द्वारा अंतिम पेलोड के रूप में गिराए जाने के लिए देखा गया है। अक्सर तैनात खतरे ASyncRAT या RevengeRAT होते हैं । हालाँकि, ऐसे मामले सामने आए हैं जब Snip3 वेरिएंट ने AgentTesla या NetWire RAT को वितरित किया है।

संगठनों को सूचित आईओसी (संकेतक-समझौता) का ध्यान रखना चाहिए और Snip3 की क्षमताओं को ध्यान में रखना चाहिए जो इसे आसानी से पहचान-केंद्रित समाधानों को बायपास करने की अनुमति देते हैं।