GHOSTFORM RAT

GHOSTFORM ir .NET bāzēts attālās piekļuves Trojas zirgs (RAT), kas izstrādāts, lai apvienotu vairākas ļaunprātīgas iespējas vienā izpildāmā binārajā failā. Ļaunprātīgā programmatūra izpilda PowerShell skriptus tieši atmiņā, samazinot atklāšanas iespējamību ar tradicionālajiem drošības rīkiem. Lai vēl vairāk apietu drošības mehānismus, tā izmanto tādas metodes kā neredzamas Windows veidlapas un aizkavētas izpildes taimeri. Tā slepenās uzvedības un plašo iespēju dēļ jebkurai GHOSTFORM noteikšanai vajadzētu nekavējoties aktivizēt noņemšanas un incidentu reaģēšanas procedūras.

Pirmā uzbrukuma ķēde: daudzpakāpju ļaunprogrammatūras izvietošana

Pirmā uzbrukuma ķēde sākas ar ar paroli aizsargāta RAR arhīva piegādi, kas satur viltotu lietojumprogrammu, kas veidota, lai līdzinātos WinRAR. Kad upuris atver arhīvu, tiek izpildīts spraudnis, kas pazīstams kā SPLITDROP. Šis spraudnis instalē divus papildu ļaunprogrammatūras komponentus: TWINTASK un TWINTALK.

SPLITDROP sākotnēji pieprasa upurim paroli, lai izgūtu slēptu arhīvu. Ja arhīvs sistēmā jau atrodas, izpilde tiek apturēta. Pretējā gadījumā nomešanas rīks fonā atšifrē iegulto vērtumu, vienlaikus lietotājam parādot maldinošu kļūdas ziņojumu. Atšifrētais saturs tiek saglabāts direktorijā “C:\ProgramData\PolGuid”, pēc kā tiek palaists likumīgs izpildāmais fails ar nosaukumu VLC.exe, lai turpinātu uzbrukumu.

Kad VLC.exe ir izpildīts, tas ielādē ļaunprātīgu dinamisko saišu bibliotēku ar nosaukumu TWINTASK, izmantojot DLL sānielādēšanu. Šis komponents gaida uzbrucēja norādījumus un izpilda tos, izmantojot PowerShell. Vairākas komandas tiek īpaši izmantotas, lai sistēmā nodrošinātu pastāvīgu piekļuvi un uzsāktu nākamo kompromitēšanas posmu. Šī procesa ietvaros skripts palaiž WingetUI.exe un izveido reģistra ierakstus, nodrošinot, ka gan VLC.exe, gan WingetUI.exe tiek automātiski palaisti ikreiz, kad sistēma tiek restartēta.

TWINTALK un TWINTASK: Koordinēta komandu izpilde

Kad tiek izpildīts WingetUI.exe, tas ielādē vēl vienu ļaunprātīgu moduli, kas pazīstams kā TWINTALK. Šis komponents izveido savienojumu ar uzbrucēja komandu un vadības serveri un izgūst instrukcijas. TWINTALK sadarbojas ar TWINTASK, lai izpildītu komandas apdraudētajā datorā.

TWINTALK atbalsta trīs galvenās komandu kategorijas:

• Komandas izpilde inficētajā ierīcē
• Faila lejupielāde no uzbrucēja infrastruktūras
• Failu augšupielāde no kompromitētās sistēmas uzbrucēja serverī

Izmantojot šīs iespējas, uzbrucēji iegūst plašu kontroli pār inficēto vidi.

Otrā uzbrukuma ķēde: tieša GHOSTFORM izpilde

Otrajā uzbrukuma ķēdē tiek izmantota pati GHOSTFORM, lai veiktu visas funkcijas, kuras apstrādā vairākas pirmās ķēdes komponentes. Tā vietā, lai izvietotu vairākus failus vai paļautos uz DLL sānielādēšanu, šī varianta PowerShell komandas tiek izpildītas tieši atmiņā.

Lai paliktu neatklāta, ļaunprogrammatūra izveido neredzamu Windows veidlapu, kas aizkavē izpildi pirms vērtuma palaišanas. Turklāt kampaņa izmanto Google Forms kā daļu no sociālās inženierijas ēsmas, lai mudinātu upurus uzsākt ļaunprātīgu darbību.

Izvairīšanās un noturības metodes

GHOSTFORM ietver vairākus mehānismus, kas paredzēti, lai samazinātu atklāšanu un saglabātu ilgtermiņa piekļuvi apdraudētām sistēmām. Ļaunprogrammatūra apzināti aizkavē savu darbību, ģenerējot gandrīz neredzamu Windows veidlapu, kas pirms izpildes turpināšanas palaiž taimeri ar nejauši noteiktu aizkavi.

Tas arī izveido savstarpēju ierobežošanu (mutex), lai nodrošinātu, ka sistēmā darbojas tikai viens ļaunprogrammatūras eksemplārs, un ģenerē unikālu bota identifikatoru inficēto datoru izsekošanai. Šāda veida attālās piekļuves Trojas zirgi parasti tiek izmantoti, lai izvietotu papildu vērtumus, zagtu sensitīvus datus un failus vai veiktu citas ļaunprātīgas darbības upura vidē.

Galvenās iespējas, kas parasti saistītas ar kampaņu, ir šādas:

• Papildu ļaunprogrammatūras vērtumu izvietošana
• Informācijas un failu zādzība no inficētām ierīcēm
• Attālā komandu izpilde, izmantojot PowerShell
• Ilgstoša noturība apdraudētās sistēmās

ClickFix sociālā inženierija: uz cilvēku vērsts infekcijas vektors

Kampaņa nepaļaujas tikai uz ļaunprogrammatūras piegādi. Tā ietver arī sociālās inženierijas paņēmienu, kas pazīstams kā ClickFix , lai kompromitētu sistēmas. Uzbrucēji izveido pārliecinošas viltotas tīmekļa lapas, kas paredzētas, lai manipulētu ar lietotājiem, liekot tiem izpildīt ļaunprātīgas komandas.

Piemēri ir viltoti Cisco Webex sapulču ielūgumi vai krāpnieciskas tīmekļa veidlapas, kas šķiet īstas. Cietušajiem tiek dots norādījums palaist komandas, kas automātiski lejupielādē un izpilda ļaunprogrammatūru, neapzināti uzsākot kompromitēšanu.

Ļaunprogrammatūras un maldināšanas apvienošana

Šī kampaņa demonstrē koordinētu pieeju, kas apvieno tehniskas ļaunprogrammatūras izvietošanu ar psiholoģisku manipulāciju. Uzbrucēji izplata ļaunprātīgus failus, kas maskēti kā nekaitīgas programmas, kas atgādina WinRAR utilītprogrammas. Atverot failus, operētājsistēmā tiek ievadīti slēpti ļaunprogrammatūras komponenti.

Pēc instalēšanas viens no komponentiem klusībā darbojas fonā, periodiski pārbaudot uzbrucēja serverī šifrētas instrukcijas un izpildot tās, izmantojot PowerShell. Vienlaikus ClickFix stila uzbrukumi balstās uz viltotām aptaujām, maldinošiem uzaicinājumiem uz tikšanos vai krāpnieciskām tiešsaistes veidlapām, lai pārliecinātu lietotājus izpildīt komandas, kas izraisa ļaunprogrammatūras lejupielādi.

Apvienojot tādus uzlabotus ļaunprogrammatūras rīkus kā TWINTASK, TWINTALK un GHOSTFORM ar rūpīgi izstrādātām sociālās inženierijas metodēm, apdraudējumu izpildītāji ievērojami palielina sistēmas kompromitēšanas veiksmes līmeni un saglabā pastāvīgu attālo kontroli pār inficētajām ierīcēm.