GHOSTFORM RAT
„GHOSTFORM“ yra .NET pagrindu sukurtas nuotolinės prieigos Trojos arklys (RAT), sukurtas tam, kad sujungtų kelias kenkėjiškas funkcijas į vieną vykdomąjį dvejetainį failą. Kenkėjiška programa vykdo „PowerShell“ scenarijus tiesiogiai atmintyje, taip sumažindama aptikimo tradicinėmis saugos priemonėmis tikimybę. Siekdama dar labiau apeiti saugos mechanizmus, ji naudoja tokius metodus kaip nematomos „Windows“ formos ir uždelsto vykdymo laikmačiai. Dėl slapto elgesio ir plačių galimybių bet koks „GHOSTFORM“ aptikimas turėtų nedelsiant suaktyvinti pašalinimo ir reagavimo į incidentus procedūras.
Turinys
Pirmoji atakos grandinė: daugiapakopis kenkėjiškų programų diegimas
Pirmoji atakų grandinė prasideda nuo slaptažodžiu apsaugoto RAR archyvo, kuriame yra netikra programa, sukurta panašiai kaip „WinRAR“, pateikimo. Aukai atidarius archyvą, paleidžiama programa, vadinama SPLITDROP. Ši programa įdiegia du papildomus kenkėjiškų programų komponentus: TWINTASK ir TWINTALK.
Iš pradžių „SPLITDROP“ prašo aukos slaptažodžio, kad galėtų išgauti paslėptą archyvą. Jei archyvas jau yra sistemoje, vykdymas sustabdomas. Priešingu atveju, išskleidžiamasis įrankis fone iššifruoja įterptąjį turinį ir vartotojui rodo klaidinantį klaidos pranešimą. Iššifruotas turinys saugomas kataloge „C:\ProgramData\PolGuid“, po kurio paleidžiamas teisėtas vykdomasis failas pavadinimu „VLC.exe“, kad būtų galima tęsti ataką.
Paleidus VLC.exe, per DLL šoninį įkėlimą įkeliama kenkėjiška dinaminių nuorodų biblioteka, vadinama TWINTASK. Šis komponentas laukia užpuoliko nurodymų ir vykdo juos naudodamas „PowerShell“. Kelios komandos specialiai naudojamos siekiant užtikrinti sistemos patikimumą ir pradėti kitą įsilaužimo etapą. Šio proceso metu scenarijus paleidžia „WingetUI.exe“ ir sukuria registro įrašus, užtikrinančius, kad tiek VLC.exe, tiek „WingetUI.exe“ būtų automatiškai paleidžiami kiekvieną kartą paleidus sistemą iš naujo.
TWINTALK ir TWINTASK: Koordinuotas komandų vykdymas
Kai vykdomas „WingetUI.exe“, jis įkelia kitą kenkėjišką modulį, vadinamą TWINTALK. Šis komponentas prisijungia prie užpuoliko komandų ir valdymo serverio ir nuskaito instrukcijas. TWINTALK kartu su TWINTASK vykdo komandas pažeistame kompiuteryje.
TWINTALK palaiko tris pagrindines komandų kategorijas:
- Komandų vykdymas užkrėstame įrenginyje
- Failo atsisiuntimas iš užpuoliko infrastruktūros
- Failų įkėlimas iš pažeistos sistemos užpuolikui
Dėl šių galimybių užpuolikai įgyja didelę užkrėstos aplinkos kontrolę.
Antroji atakos grandinė: tiesioginis GHOSTFORM vykdymas
Antroji atakų grandinė naudoja pačią GHOSTFORM, kad atliktų visas funkcijas, kurias tvarko keli pirmosios grandinės komponentai. Užuot diegęs kelis failus arba pasikliaudamas DLL šoniniu įkėlimu, šis variantas vykdo „PowerShell“ komandas tiesiogiai atmintyje.
Kad liktų nepastebėta, kenkėjiška programa sukuria nematomą „Windows“ formą, kuri atideda vykdymą prieš paleidžiant naudingąją apkrovą. Be to, kampanija naudoja „Google Forms“ kaip socialinės inžinerijos masalo dalį, kad paskatintų aukas pradėti kenkėjišką veiklą.
Vengimo ir atkaklumo metodai
„GHOSTFORM“ apima kelis mechanizmus, skirtus sumažinti aptikimo riziką ir išlaikyti ilgalaikę prieigą prie pažeistų sistemų. Kenkėjiška programa sąmoningai sulėtina savo veiklą, sukurdama beveik nematomą „Windows“ formą, kuri paleidžia laikmatį su atsitiktinai nustatytu vėlavimu prieš tęsiant vykdymą.
Taip pat sukuriamas „mutex“, siekiant užtikrinti, kad sistemoje veiktų tik vienas kenkėjiškos programos egzempliorius, ir sugeneruojamas unikalus roboto identifikatorius užkrėstų kompiuterių sekimui. Šio tipo nuotolinės prieigos Trojos arkliai dažniausiai naudojami papildomoms naudingosioms apkrovoms diegti, slaptiems duomenims ir failams vogti arba kitoms kenkėjiškoms operacijoms aukos aplinkoje atlikti.
Pagrindinės su kampanija dažniausiai siejamos galimybės:
- Papildomų kenkėjiškų programų naudingųjų apkrovų diegimas
- Informacijos ir failų vagystė iš užkrėstų įrenginių
- Nuotolinis komandų vykdymas naudojant „PowerShell“
- Ilgalaikis išlikimas pažeistose sistemose
„ClickFix“ socialinė inžinerija: į žmogų orientuotas infekcijos vektorius
Kampanija nesiremia vien kenkėjiškų programų platinimu. Joje taip pat naudojama socialinės inžinerijos technika, vadinama „ClickFix“ , siekiant užkrėsti sistemas. Užpuolikai kuria įtikinamus netikrus tinklalapius, skirtus manipuliuoti vartotojais, kad jie vykdytų kenkėjiškas komandas.
Pavyzdžiai: suklastoti „Cisco Webex“ susitikimų kvietimai arba apgaulingos žiniatinklio formos, kurios atrodo teisėtos. Aukos gauna nurodymus vykdyti komandas, kurios automatiškai atsisiunčia ir vykdo kenkėjišką programą, to nežinodamos, inicijuojančią įsilaužimą.
Kenkėjiškų programų ir apgaulės derinimas
Ši kampanija demonstruoja koordinuotą požiūrį, kuris derina techninį kenkėjiškų programų diegimą su psichologiniu manipuliavimu. Užpuolikai platina kenkėjiškus failus, užmaskuotus kaip nekenksmingas programas, panašias į „WinRAR“ programas. Atidarius šiuos failus, į operacinę sistemą įterpiami paslėpti kenkėjiškų programų komponentai.
Įdiegus vieną iš komponentų, jis tyliai veikia fone, periodiškai tikrindamas užpuoliko serverį, ar jame nėra užšifruotų instrukcijų, ir vykdydamas jas naudodamas „PowerShell“. Tuo pačiu metu „ClickFix“ stiliaus atakos remiasi netikromis apklausomis, apgaulingais kvietimais į susitikimus arba apgaulingomis internetinėmis formomis, kad įtikintų vartotojus vykdyti komandas, kurios suaktyvina kenkėjiškų programų atsisiuntimą.
Derindami pažangias kenkėjiškų programų priemones, tokias kaip „TWINTASK“, „TWINTALK“ ir „GHOSTFORM“, su kruopščiai sukurtais socialinės inžinerijos metodais, grėsmių kūrėjai žymiai padidina sistemos užkrėtimo sėkmės rodiklį ir palaiko nuolatinę nuotolinę užkrėstų įrenginių kontrolę.
