Ponuda s popustom na više licenci
Baza prijetnji Malware DeepLoad zlonamjernog softvera

DeepLoad zlonamjernog softvera

Do Mezo. Malware, Napredna trajna prijetnja (APT). godine
Prevedi na:

Novootkrivena napadačka kampanja koristi tehniku socijalnog inženjeringa ClickFix za pokretanje infekcije. Žrtve se manipulira da izvrše zlonamjerne PowerShell naredbe lijepljenjem u dijalog Pokreni sustava Windows pod krinkom rješavanja izmišljenog sistemskog problema. Ovaj početni korak koristi mshta.exe, legitimni Windows uslužni program, za dohvaćanje i izvršavanje maskiranog PowerShell loadera.

Zamagljivanje osmišljeno za izbjegavanje

PowerShell loader prikriva svoju pravu svrhu prekomjernim i besmislenim dodjeljivanjem varijabli, što značajno komplicira statičku analizu. Dokazi upućuju na to da su alati umjetne inteligencije vjerojatno korišteni za izgradnju ovog sloja zamagljivanja, povećavajući njegovu sofisticiranost. Ovaj pristup omogućuje zlonamjernom softveru da zaobiđe tradicionalne mehanizme detekcije uz održavanje operativnog integriteta.

Prikrivenost kroz kamuflažu sustava

DeepLoad je posebno dizajniran da se besprijekorno uklopi u standardne Windows operacije. Korisni sadržaj skriven je unutar izvršne datoteke pod nazivom LockAppHost.exe, legitimnog procesa odgovornog za upravljanje zaključanim zaslonom sustava Windows. Kako bi dodatno prikrio svoju prisutnost, zlonamjerni softver onemogućuje povijest PowerShell naredbi i izravno poziva izvorne osnovne funkcije sustava Windows umjesto da se oslanja na standardne PowerShell naredbe. Ova tehnika omogućuje mu izbjegavanje sustava za praćenje koji prate PowerShell aktivnost.

Tehnike bez datoteka i dinamičko generiranje korisnog tereta

Kako bi se smanjila detekcija, DeepLoad izbjegava ostavljanje konzistentnih artefakata na disku. Dinamički generira sekundarnu komponentu pomoću PowerShellove značajke Add-Type, kompajlirajući C# kod u privremenu DLL datoteku pohranjenu u korisnikovom Temp direktoriju. Svako izvršavanje stvara jedinstveno imenovanu datoteku, učinkovito zaobilazeći metode detekcije temeljene na datotekama koje se oslanjaju na poznate potpise.

Napredno ubrizgavanje za prikriveno izvršenje

Ključna strategija izbjegavanja uključuje korištenje injekcije asinhronog poziva procedura (APC). Zlonamjerni softver pokreće legitimni Windows proces u suspendiranom stanju, ubrizgava shellcode izravno u njegovu memoriju i nastavlja izvršavanje. Ova metoda osigurava da se zlonamjerni teret izvršava unutar pouzdanog procesa bez pisanja dekodirane verzije na disk, značajno smanjujući njegov forenzički otisak.

Mehanizmi trajne krađe vjerodajnica

DeepLoad je dizajniran za izdvajanje osjetljivih korisničkih podataka odmah nakon izvršavanja. Njegove mogućnosti uključuju:

  • Prikupljanje pohranjenih lozinki preglednika izravno sa zaraženog sustava
  • Implementacija zlonamjernog proširenja preglednika koje bilježi vjerodajnice u stvarnom vremenu tijekom pokušaja prijave i traje tijekom sesija osim ako se ručno ne ukloni

Lateralno širenje putem izmjenjivih medija

Zlonamjerni softver uključuje tehnike širenja osmišljene za iskorištavanje prijenosnih uređaja za pohranu. Nakon otkrivanja USB pogona ili sličnih medija, kopira zlonamjerne datoteke prečaca prikrivene kao legitimne instalacijske programe. Ove datoteke su imenovane tako da izgledaju pouzdano, povećavajući vjerojatnost interakcije korisnika i daljnje zaraze.

Tiha reinfekcija putem zlouporabe WMI-ja

DeepLoad uspostavlja perzistentnost pomoću Windows Management Instrumentation (WMI). Stvara pretplate na događaje koje pokreću ponovnu infekciju nakon odgode od tri dana, ne zahtijevajući interakciju korisnika ili sudjelovanje napadača. Ova tehnika također remeti tradicionalne modele detekcije prekidanjem očekivanih odnosa između procesa roditelj-dijete.

Strateški cilj: Potpuna pokrivenost lanca ubijanja

Cjelokupni dizajn DeepLoada ukazuje na višenamjenski okvir zlonamjernog softvera sposoban za izvršavanje akcija u cijelom lancu killer ubojstava. Njegova operativna strategija usmjerena je na:

  • Izbjegavanje artefakata na disku radi smanjenja mogućnosti otkrivanja
  • Miješanje zlonamjernih aktivnosti unutar legitimnih Windows procesa
  • Brzo se širi među sustavima kako bi proširio svoj otisak

Pokazatelji skalabilnog okvira prijetnji

Infrastruktura i modularni dizajn povezani s DeepLoadom sugeriraju mogućnost dijeljenog ili servisno temeljenog modela implementacije. Iako su karakteristike u skladu s ponudama Malware-as-a-Service (MaaS), trenutno nema dovoljno dokaza za definitivnu potvrdu ove klasifikacije.

U trendu

Nagledanije

Učitavam...