Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman perisian hasad Perisian Hasad DeepLoad

Perisian Hasad DeepLoad

Menjelang Mezo pada perisian hasad, Ancaman Berterusan Lanjutan (APT)
Terjemahkan ke

Satu kempen serangan yang baru dikenal pasti menggunakan teknik kejuruteraan sosial ClickFix untuk memulakan jangkitan. Mangsa dimanipulasi untuk melaksanakan arahan PowerShell yang berniat jahat dengan menampalnya ke dalam dialog Windows Run dengan alasan menyelesaikan masalah sistem yang direka-reka. Langkah awal ini memanfaatkan mshta.exe, utiliti Windows yang sah, untuk mendapatkan dan melaksanakan pemuat berasaskan PowerShell yang dikaburkan.

Kekeliruan Direkayasa untuk Pengelakan

Pemuat PowerShell menyembunyikan tujuan sebenarnya melalui tugasan pembolehubah yang berlebihan dan tidak bermakna, sekali gus merumitkan analisis statik dengan ketara. Bukti menunjukkan bahawa alat kecerdasan buatan kemungkinan besar digunakan untuk membina lapisan obfuscation ini, sekali gus meningkatkan kecanggihannya. Pendekatan ini membolehkan malware memintas mekanisme pengesanan tradisional sambil mengekalkan integriti operasi.

Penyamaran Sistem Secara Senyap

DeepLoad direka bentuk khusus untuk digabungkan dengan lancar ke dalam operasi Windows standard. Muatan tersembunyi dalam fail boleh laku bernama LockAppHost.exe, proses sah yang bertanggungjawab untuk mengurus skrin kunci Windows. Untuk mengaburkan lagi kehadirannya, perisian hasad melumpuhkan sejarah arahan PowerShell dan secara langsung menggunakan fungsi teras Windows asli dan bukannya bergantung pada arahan PowerShell standard. Teknik ini membolehkannya mengelak sistem pemantauan yang menjejaki aktiviti PowerShell.

Teknik Tanpa Fail dan Penjanaan Muatan Dinamik

Untuk meminimumkan pengesanan, DeepLoad mengelakkan daripada meninggalkan artifak yang konsisten pada cakera. Ia menjana komponen sekunder secara dinamik menggunakan ciri Add-Type PowerShell, menyusun kod C# ke dalam fail DLL sementara yang disimpan dalam direktori Temp pengguna. Setiap pelaksanaan menghasilkan fail bernama unik, dengan berkesan memintas kaedah pengesanan berasaskan fail yang bergantung pada tandatangan yang diketahui.

Suntikan Lanjutan untuk Pelaksanaan Tersembunyi

Strategi pengelakan utama melibatkan penggunaan suntikan panggilan prosedur tak segerak (APC). Perisian hasad melancarkan proses Windows yang sah dalam keadaan digantung, menyuntik kod shell terus ke dalam memorinya dan menyambung semula pelaksanaan. Kaedah ini memastikan muatan berniat jahat berjalan dalam proses yang dipercayai tanpa menulis versi yang dinyahkod ke cakera, sekali gus mengurangkan jejak forensiknya dengan ketara.

Mekanisme Kecurian Kelayakan Berterusan

DeepLoad direka bentuk untuk mengekstrak data pengguna sensitif sebaik sahaja pelaksanaan. Keupayaannya termasuk:

  • Mengambil kata laluan pelayar yang disimpan terus daripada sistem yang dijangkiti
  • Menggunakan sambungan pelayar berniat jahat yang menangkap kelayakan dalam masa nyata semasa percubaan log masuk dan berterusan merentasi sesi melainkan dialih keluar secara manual

Sebaran Lateral melalui Media Boleh Tanggal

Perisian hasad ini menggabungkan teknik penyebaran yang direka untuk mengeksploitasi peranti storan boleh tanggal. Setelah mengesan pemacu USB atau media serupa, ia menyalin fail pintasan berniat jahat yang menyamar sebagai pemasang yang sah. Fail-fail ini dinamakan supaya kelihatan boleh dipercayai, meningkatkan kemungkinan interaksi pengguna dan jangkitan selanjutnya.

Jangkitan Semula Senyap Melalui Penyalahgunaan WMI

DeepLoad mewujudkan kegigihan menggunakan Instrumentasi Pengurusan Windows (WMI). Ia mencipta langganan peristiwa yang mencetuskan jangkitan semula selepas kelewatan selama tiga hari, tanpa memerlukan interaksi pengguna atau penglibatan penyerang. Teknik ini juga mengganggu model pengesanan tradisional dengan memutuskan hubungan proses induk-anak yang dijangkakan.

Objektif Strategik: Liputan Rantaian Pembunuhan Penuh

Reka bentuk keseluruhan DeepLoad menunjukkan rangka kerja malware berbilang fungsi yang mampu melaksanakan tindakan merentasi keseluruhan rantaian pembunuhan siber. Strategi operasinya memberi tumpuan kepada:

  • Mengelakkan artifak berasaskan cakera untuk mengurangkan peluang pengesanan
  • Menggabungkan aktiviti berniat jahat dalam proses Windows yang sah
  • Merebak pantas merentasi sistem untuk meluaskan jejaknya

Petunjuk Rangka Kerja Ancaman Boleh Skala

Reka bentuk infrastruktur dan modular yang berkaitan dengan DeepLoad mencadangkan kemungkinan model penggunaan yang dikongsi atau berasaskan perkhidmatan. Walaupun ciri-cirinya selaras dengan tawaran Malware-as-a-Service (MaaS), pada masa ini terdapat bukti yang tidak mencukupi untuk mengesahkan pengelasan ini secara muktamad.

Trending

Paling banyak dilihat

Memuatkan...