Vairāku licenču atlaides piedāvājums
Draudu datu bāze Ļaunprātīga programmatūra VOID#GEIST ļaunprogrammatūra

VOID#GEIST ļaunprogrammatūra

Līdz Mezo. gadam Ļaunprātīga programmatūra, Attālās administrēšanas rīki. gadā
Tulkot uz:

Kiberdrošības pētnieki ir atklājuši sarežģītu daudzpakāpju ļaunprogrammatūras kampaņu, kas balstās uz pakešskriptiem, lai piegādātu šifrētus attālās piekļuves Trojas zirgu (RAT) vērtumus. Kampaņa, kas identificēta kā VOID#GEIST, izmanto vairākas RAT saimes, tostarp XWorm, AsyncRAT un Xeno RAT.

Uzbrukuma ķēde izmanto apmulsinātu partijas skriptu, kas uzsāk darbību secību, kuras mērķis ir izvairīties no atklāšanas. Šīs darbības ietver papildu partijas skripta palaišanu, likumīgas iegultās Python izpildlaika vides izveidi un šifrēta čaulas koda lietderīgās slodzes atšifrēšanu. Čaulas kods tiek izpildīts tieši atmiņā pēc tam, kad tas ir ievadīts atsevišķos Windows procesa explorer.exe gadījumos, izmantojot tehniku, kas pazīstama kā Early Bird Asynchronous Procedure Call (APC) injekcija.

Skriptu vadīta ļaunprogrammatūras piegāde: mūsdienīgs apdraudējuma modelis

Mūsdienu apdraudējumu izpildītāji arvien biežāk atsakās no tradicionālām, atsevišķām izpildāmām ļaunprogrammatūrām, dodot priekšroku daudzslāņainām, uz skriptiem balstītām piegādes sistēmām, kas atdarina likumīgu lietotāja uzvedību. Tā vietā, lai izvietotu tradicionālos pārnēsājamos izpildāmos (PE) bināros failus, uzbrucēji izveido daudzkomponentu plūsmas, kas apvieno vairākas likumīgas tehnoloģijas un skriptēšanas vides.

Šajās sistēmās izmantotie tipiskie komponenti ir šādi:

  • Partijas skripti, ko izmanto inficēšanas secības vadīšanai.
  • PowerShell komandas, kas atvieglo slepenu lietderīgās slodzes sagatavošanu.
  • Iegultas likumīgas izpildlaika vides, kas nodrošina pārnesamību dažādās sistēmās.
  • Neapstrādāts čaulas kods, kas tiek izpildīts tieši atmiņā, lai saglabātu noturību un kontroli.

Šī bezfailu izpildes pieeja ievērojami samazina iespējas atklāt datus no diska. Katrs atsevišķs posms, pārbaudot to atsevišķi, šķiet relatīvi nekaitīgs un bieži vien atgādina ikdienas administratīvo darbību, ļaujot apdraudējumu dalībniekiem darboties apdraudētās vidēs, neradot tūlītējus drošības brīdinājumus.

Sākotnējā piekļuve, izmantojot pikšķerēšanu un Cloudflare infrastruktūru

Uzbrukuma ieejas punkts ir ļaunprātīgs partijas skripts, kas tiek piegādāts ar pikšķerēšanas e-pastiem. Skripts tiek izgūts no infrastruktūras, kas atrodas TryCloudflare domēnā. Pēc izpildes skripts apzināti izvairās no privilēģiju eskalācijas mēģinājumiem un tā vietā darbojas stingri saskaņā ar pašlaik pieteiktā lietotāja atļauju robežām.

Šī stratēģija ļauj ļaunprogrammatūrai nostiprināties, vienlaikus iekļaujoties ikdienas lietotāja līmeņa darbībās. Izvairoties no darbībām, kurām nepieciešamas paaugstinātas privilēģijas, uzbrukums samazina drošības brīdinājumu vai administratora uzvedņu aktivizēšanas iespējamību.

Vizuālās uzmanības novēršanas un slepenas izpildes metodes

Pēc izpildes ļaunprogrammatūras pirmajā posmā tiek palaists māndokuments, lai novērstu upura uzmanību. Google Chrome tiek atvērts pilnekrāna režīmā, lai parādītu finanšu dokumentu vai rēķinu PDF formātā. Kamēr lietotājs koncentrējas uz dokumentu, ļaunprātīga darbība turpinās fonā.

Vienlaikus tiek izpildīta PowerShell komanda, lai atkārtoti palaistu sākotnējo partijas skriptu ar slēptiem izpildes parametriem. Parametra -WindowStyle Hidden izmantošana novērš redzama konsoles loga parādīšanos, nodrošinot, ka ļaunprātīgā darbība paliek slēpta no lietotāja.

Noturība, izmantojot lietotāja līmeņa starta izpildi

Lai saglabātu noturību pēc sistēmas pārstartēšanas, ļaunprogrammatūra izvieto papildu pakešskriptu Windows lietotāja startēšanas direktorijā. Šī atrašanās vieta nodrošina, ka skripts tiek automātiski izpildīts ikreiz, kad upuris piesakās sistēmā.

Šis noturības mehānisms ir apzināti smalks. Tā vietā, lai izmantotu uzmācīgākas metodes, piemēram, sistēmas reģistra atslēgu modificēšanu, ieplānotu uzdevumu izveidi vai pakalpojumu instalēšanu, ļaunprogrammatūra paļaujas tikai uz standarta lietotāja līmeņa startēšanas darbību. Tā kā šī pieeja darbojas pilnībā pašreizējā lietotāja privilēģiju kontekstā, tā izvairās no privilēģiju eskalācijas uzvedņu aktivizēšanas un samazina reģistra uzraudzības rīku atklāšanas iespējamību.

Derīgās slodzes izguves un atšifrēšanas ietvars

Nākamajā inficēšanas ķēdes posmā ļaunprogrammatūra sazinās ar TryCloudflare domēnu, lai izgūtu papildu lietderīgās slodzes komponentus, kas iepakoti ZIP arhīvos. Šie arhīvi satur moduļus, kas nepieciešami, lai atšifrētu un izpildītu galīgās ļaunprogrammatūras lietderīgās slodzes.

Lejupielādētajā arhīvā parasti ir šādi komponenti:

  • runn.py – Python balstīts ielādētājs, kas atbild par šifrētu čaulkoda moduļu atšifrēšanu un ievadīšanu atmiņā
  • new.bin – šifrēta čaulkoda lietderīgā slodze, kas saistīta ar XWorm
  • xn.bin – šifrēta čaulas koda lietderīgā slodze, kas atbilst Xeno RAT
  • pul.bin – šifrēta čaulkoda lietderīgā slodze, kas atbilst AsyncRAT
  • a.json, n.json un p.json — atslēgas faili, ko Python ielādētājs izmanto, lai izpildlaikā dinamiski atšifrētu apvalkkoda lietderīgās slodzes.

Šis modulārais dizains ļauj uzbrucējiem neatkarīgi izvietot dažādas lietderīgās slodzes un aktivizēt tās tikai nepieciešamības gadījumā.

Iegultā Python izpildlaika versija pārnesamībai un slepenībai

Kad arhīvs ir izvilkts, ļaunprogrammatūra izvieto likumīgu iegultu Python izpildlaiku, kas iegūts tieši no python.org. Iegulta likumīga interpretatora izmantošana novērš paļaušanos uz jebkuru Python instalāciju, kas jau var pastāvēt apdraudētajā sistēmā.

No uzbrucēja viedokļa šis solis sniedz vairākas stratēģiskas priekšrocības. Ļaunprogrammatūra kļūst par autonomu izpildes vidi, kas spēj atšifrēt un ievadīt vērtumus, nepieprasot ārējas atkarības. Tas uzlabo pārnesamību dažādās sistēmās, palielina uzticamību un veicina darbības slepenību, izmantojot likumīgus programmatūras komponentus.

Vairāku RAT lietderīgo slodzi izpilde atmiņā

Iegultais Python izpildlaiks pēc tam tiek izmantots, lai izpildītu ielādes skriptu runn.py. Ielādētājs atšifrē ar XWorm saistīto apvalka kodu un ievieto to palaistā explorer.exe instancē, izmantojot Early Bird APC injekciju.

Lai izvietotu Xeno RAT, ļaunprogrammatūra izmanto likumīgu Microsoft bināro failu ar nosaukumu AppInstallerPythonRedirector.exe, kas tiek izmantots Python izsaukšanai un nepieciešamo komponentu izpildei. Tā pati injekcijas tehnika pēc tam tiek atkārtoti izmantota, lai izvietotu AsyncRAT, nodrošinot, ka visas vērtās slodzes tiek pilnībā izpildītas atmiņā, neatstājot tradicionālos izpildāmos artefaktus diskā.

Komandvadības un kontroles bākugunis un modulāra arhitektūra

Uzbrukuma pēdējais posms ietver minimāla HTTP bāka nosūtīšanu uzbrucēja kontrolētajai vadības un kontroles (C2) infrastruktūrai, kas mitināta TryCloudflare platformā. Šis bāka apstiprina, ka sistēma ir veiksmīgi kompromitēta un ir gatava saņemt turpmākus norādījumus.

Lai gan konkrētie kampaņas mērķi joprojām nav zināmi, inficēšanas ķēde demonstrē ļoti modulāru arhitektūru. Tā vietā, lai izvietotu vienu lielu ļaunprogrammatūras lietderīgo slodzi, uzbrucēji ievieš komponentus pakāpeniski vairākos posmos. Šī konstrukcija uzlabo darbības elastību un noturību.

No atklāšanas viedokļa visas kampaņas laikā parādās viens ievērojams uzvedības indikators: atkārtota procesu injekcija explorer.exe failā īsos laika intervālos. Šis modelis var kalpot kā spēcīgs signāls aizstāvjiem, kas mēģina korelēt aizdomīgas darbības dažādos uzbrukuma dzīves cikla posmos.

Tendences

Visvairāk skatīts

Ļaunprātīga programmatūra

Pikšķerēšana, Mēstules
22,467
Krāpniecības ziņojums “Apple Pay Suspended” ir pikšķerēšanas taktikas veids, kas ir vērsts uz Apple Pay lietotājiem. Ziņojumā tiek apgalvots, ka lietotāja Apple Pay maka darbība ir apturēta, un tiek mudināts noklikšķināt uz saites, lai to atjaunotu. Tomēr, noklikšķinot uz saites, lietotājs tiks novirzīts uz viltotu vietni, kas paredzēta viņa personiskās un finanšu informācijas zagšanai. Ja...
Notiek ielāde...