Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Kenkėjiška programa VOID#GEIST kenkėjiška programa

VOID#GEIST kenkėjiška programa

Autorius Mezo, Kenkėjiška programa, Nuotolinio administravimo įrankiai
Versti į:

Kibernetinio saugumo tyrėjai atskleidė sudėtingą daugiapakopę kenkėjiškų programų kampaniją, kuri naudoja paketinius scenarijus, kad pateiktų užšifruotus nuotolinės prieigos Trojos arklius (RAT). Kampanija, identifikuota kaip VOID#GEIST, naudoja kelias RAT šeimas, įskaitant „XWorm“, „AsyncRAT“ ir „Xeno RAT“.

Atakų grandinėje naudojamas užmaskuotas paketinis scenarijus, kuris inicijuoja veiksmų seką, skirtą išvengti aptikimo. Šie veiksmai apima papildomo paketinio scenarijaus paleidimą, teisėtos įterptosios „Python“ vykdymo aplinkos parengimą ir užšifruoto apvalkalinio kodo naudingosios apkrovos iššifravimą. Apvalusis kodas vykdomas tiesiai atmintyje po to, kai jis įterpiamas į atskirus „Windows“ proceso „explorer.exe“ egzempliorius naudojant techniką, vadinamą „Early Bird Asinchronous Procedure Call“ (APC) injekcija.

Scenarijų valdomas kenkėjiškų programų pristatymas: modernus grėsmių modelis

Šiuolaikiniai kibernetinių grėsmių kūrėjai vis dažniau atsisako tradicinių atskirų vykdomųjų kenkėjiškų programų ir renkasi daugiasluoksnes, skriptais pagrįstas pristatymo sistemas, kurios imituoja teisėtą vartotojo elgesį. Užuot diegę įprastus nešiojamuosius vykdomuosius (PE) dvejetainius failus, užpuolikai kuria daugiakomponenčius srautus, kurie apjungia kelias teisėtas technologijas ir skriptų aplinkas.

Tipiniai šiose sistemose naudojami komponentai yra šie:

  • Paketiniai scenarijai, naudojami užkrėtimo sekai organizuoti.
  • „PowerShell“ komandos, kurios palengvina slaptą naudingosios apkrovos paruošimą.
  • Įterptosios teisėtos vykdymo aplinkos, užtikrinančios perkeliamumą tarp sistemų.
  • Neapdorotas apvalkalo kodas, vykdomas tiesiogiai atmintyje, siekiant išlaikyti nuoseklumą ir kontrolę.

Šis vykdymo be failų metodas žymiai sumažina diske atliekamo aptikimo galimybes. Kiekvienas atskiras etapas, tiriamas atskirai, atrodo gana nekenksmingas ir dažnai primena įprastą administracinę veiklą, todėl grėsmių kūrėjai gali veikti pažeistoje aplinkoje nesukeldami tiesioginių saugumo įspėjimų.

Pradinė prieiga per sukčiavimą sukčiavimo būdu ir „Cloudflare“ infrastruktūrą

Atakos pradinis taškas yra kenkėjiškas paketinis scenarijus, pristatomas sukčiavimo el. laiškuose. Scenarijus nuskaitomas iš infrastruktūros, talpinamos „TryCloudflare“ domene. Pavykęs scenarijus sąmoningai vengia bandymų didinti privilegijas ir veikia griežtai neviršydamas šiuo metu prisijungusio vartotojo leidimų ribų.

Ši strategija leidžia kenkėjiškai programai įsitvirtinti pradinėje padėtyje, tuo pačiu metu įsiliejant į įprastas vartotojo lygio operacijas. Vengiant veiksmų, kuriems reikalingos didesnės teisės, ataka sumažina tikimybę, kad bus suaktyvinti saugos įspėjimai arba administratoriaus raginimai.

Vizualinio atitraukimo ir slapto vykdymo technikos

Po vykdymo pirmasis kenkėjiškos programos etapas paleidžia masalo dokumentą, kad atitrauktų aukos dėmesį. „Google Chrome“ atidaroma viso ekrano režimu, kad būtų rodomas finansinis dokumentas arba sąskaita faktūra PDF formatu. Vartotojui sutelkus dėmesį į dokumentą, kenkėjiška veikla tęsiasi fone.

Tuo pačiu metu vykdoma „PowerShell“ komanda, skirta paleisti pradinį paketinį scenarijų su paslėptais vykdymo parametrais. Naudojant parametrą „-WindowStyle Hidden“, konsolės langas neatsiranda, todėl kenkėjiška veikla lieka paslėpta nuo vartotojo.

Atkaklumas per vartotojo lygio paleidimo vykdymą

Kad išliktų įsimenęs po sistemos perkrovimo, kenkėjiška programa į „Windows“ vartotojo paleisties katalogą įdiegia pagalbinį paketinį skriptą. Ši vieta užtikrina, kad skriptas būtų automatiškai vykdomas kiekvieną kartą, kai auka prisijungia prie sistemos.

Šis įsitvirtinimo mechanizmas yra sąmoningai subtilus. Užuot naudojusi įkyrius metodus, tokius kaip sistemos registro raktų keitimas, suplanuotų užduočių kūrimas ar paslaugų diegimas, kenkėjiška programa išimtinai remiasi standartiniu vartotojo lygio paleidimo elgesiu. Kadangi šis metodas veikia visiškai atsižvelgiant į dabartinio vartotojo teises, jis nesukelia privilegijų eskalavimo raginimų ir sumažina aptikimo registro stebėjimo įrankiais tikimybę.

Naudingosios apkrovos paieškos ir iššifravimo sistema

Kitame užkrato grandinės etape kenkėjiška programa susisiekia su „TryCloudflare“ domenu, kad gautų papildomus naudingosios informacijos komponentus, supakuotus ZIP archyvuose. Šiuose archyvuose yra moduliai, reikalingi galutinei kenkėjiškos programos naudingajai informacijai iššifruoti ir vykdyti.

Atsisiųstame archyve paprastai yra šie komponentai:

  • runn.py – Python pagrindu veikianti įkėlėja, atsakinga už užšifruotų apvalkalinio kodo modulių iššifravimą ir įterpimą į atmintį
  • new.bin – užšifruotas apvalkalo kodo paketas, susietas su XWorm
  • xn.bin – užšifruotas apvalkalo kodo paketas, atitinkantis „Xeno RAT“
  • pul.bin – užšifruotas apvalkalo kodo paketas, atitinkantis „AsyncRAT“
  • a.json, n.json ir p.json – pagrindiniai failai, kuriuos „Python“ įkroviklis naudoja dinamiškai iššifruoti apvalkalo kodo naudingąją apkrovą vykdymo metu

Ši modulinė konstrukcija leidžia užpuolikams savarankiškai paruošti skirtingus naudinguosius krovinius ir aktyvuoti juos tik tada, kai reikia.

Įterptasis „Python“ vykdymo laikas, skirtas perkeliamumui ir slaptumui

Išskleidus archyvą, kenkėjiška programa įdiegia teisėtą įterptąją „Python“ vykdymo aplinką, gautą tiesiai iš python.org. Įterpus teisėtą interpretatorių, nebereikia pasikliauti jokia „Python“ instaliacija, kuri jau gali būti pažeistoje sistemoje.

Užpuoliko požiūriu, šis žingsnis suteikia keletą strateginių pranašumų. Kenkėjiška programa tampa savarankiška vykdymo aplinka, galinčia iššifruoti ir įterpti naudingąją informaciją nereikalaujant išorinių priklausomybių. Tai pagerina perkeliamumą skirtingose sistemose, padidina patikimumą ir prisideda prie operacinio slaptumo naudojant teisėtus programinės įrangos komponentus.

Kelių RAT naudingųjų apkrovų vykdymas atmintyje

Įterptasis „Python“ vykdymo aplinkos komponentas naudojamas runn.py įkėlimo scenarijui vykdyti. Įkėlimo programa iššifruoja su „XWorm“ susietą apvalkalo kodą ir įterpia jį į veikiantį explorer.exe egzempliorių naudodama „Early Bird APC“ injekciją.

Norėdama įdiegti „Xeno RAT“, kenkėjiška programa naudoja teisėtą „Microsoft“ dvejetainį failą, vadinamą „AppInstallerPythonRedirector.exe“, kuris naudojamas iškviesti „Python“ ir vykdyti reikiamus komponentus. Ta pati injekcijos technika vėliau pakartotinai naudojama diegiant „AsyncRAT“, užtikrinant, kad visi naudingieji duomenys būtų vykdomi tik atmintyje, nepaliekant tradicinių vykdomųjų artefaktų diske.

Komandinės ir kontrolės švyturiai ir modulinė architektūra

Paskutinis atakos etapas apima minimalaus HTTP švyturėlio siuntimą į užpuoliko kontroliuojamą komandų ir kontrolės (C2) infrastruktūrą, talpinamą „TryCloudflare“. Šis švyturėlis patvirtina, kad sistema buvo sėkmingai pažeista ir yra pasirengusi gauti tolesnes instrukcijas.

Nors konkretūs kampanijos taikiniai lieka nežinomi, užkrėtimo grandinė pasižymi labai moduline architektūra. Užuot diegę vieną didelę kenkėjiškų programų paketą, užpuolikai komponentus įdiegia palaipsniui keliais etapais. Ši konstrukcija pagerina veiklos lankstumą ir atsparumą.

Aptikimo požiūriu, visos kampanijos metu išryškėja vienas pastebimas elgesio rodiklis: pakartotinis procesų įterpimas į explorer.exe per trumpus laiko intervalus. Šis modelis gali būti stiprus signalas gynėjams, bandantiems susieti įtartiną veiklą skirtinguose atakos gyvavimo ciklo etapuose.

Tendencijos

Labiausiai žiūrima

Kenkėjiška programa

Sukčiavimas, Šlamštas
22,467
Sukčiavimo pranešimas „Apple Pay Suspended“ yra sukčiavimo taktika, skirta „Apple Pay“ naudotojams. Pranešime teigiama, kad vartotojo Apple Pay piniginė buvo sustabdyta, ir raginama spustelėti nuorodą, kad ją atkurtumėte. Tačiau spustelėjęs nuorodą vartotojas pateks į netikrą svetainę, kuri skirta pavogti jo asmeninę ir finansinę informaciją. Jei vartotojas tampa šios schemos auka, pasekmės...
Įkeliama...