Perisian Hasad VOID#GEIST
Penyelidik keselamatan siber telah menemui kempen perisian hasad berbilang peringkat yang canggih yang bergantung pada skrip kelompok untuk menghantar muatan trojan akses jauh (RAT) yang disulitkan. Kempen ini, yang dikenal pasti sebagai VOID#GEIST, menggunakan beberapa keluarga RAT, termasuk XWorm, AsyncRAT dan Xeno RAT.
Rantaian serangan memanfaatkan skrip kelompok yang dikaburkan yang memulakan urutan tindakan yang direka untuk mengelak pengesanan. Tindakan ini termasuk melancarkan skrip kelompok tambahan, mengadakan persekitaran runtime Python terbenam yang sah dan menyahsulit muatan kod shell yang disulitkan. Kod shell dilaksanakan terus dalam memori selepas disuntik ke dalam contoh berasingan Windows process explorer.exe menggunakan teknik yang dikenali sebagai suntikan Panggilan Prosedur Asynchronous Early Bird (APC).
Isi kandungan
Penghantaran Perisian Hasad Berasaskan Skrip: Model Ancaman Moden
Pelakon ancaman moden semakin meninggalkan perisian hasad boleh laku tradisional yang berdiri sendiri dan memilih rangka kerja penghantaran berasaskan skrip berlapis yang meniru tingkah laku pengguna yang sah. Daripada menggunakan binari Boleh Laksana Mudah Alih (PE) konvensional, penyerang mengatur saluran paip berbilang komponen yang menggabungkan beberapa teknologi dan persekitaran skrip yang sah.
Komponen tipikal yang digunakan dalam rangka kerja ini termasuk:
- Skrip kelompok yang digunakan untuk mengatur urutan jangkitan.
- Perintah PowerShell yang memudahkan pementasan muatan secara senyap.
- Masa jalan sah terbenam yang memastikan kebolehgunaan merentasi sistem.
- Kod shell mentah dilaksanakan terus dalam ingatan untuk mengekalkan kegigihan dan kawalan.
Pendekatan pelaksanaan tanpa fail ini mengurangkan peluang pengesanan berasaskan cakera dengan ketara. Setiap peringkat individu kelihatan agak tidak berbahaya apabila diperiksa secara bebas dan selalunya menyerupai aktiviti pentadbiran rutin, membolehkan pelaku ancaman beroperasi dalam persekitaran yang terjejas tanpa memaklumkan amaran keselamatan serta-merta.
Akses Awal Melalui Infrastruktur Phishing dan Cloudflare
Titik masuk serangan bermula dengan skrip kelompok berniat jahat yang dihantar melalui e-mel pancingan data. Skrip diambil daripada infrastruktur yang dihoskan pada domain TryCloudflare. Setelah dilaksanakan, skrip sengaja mengelakkan percubaan peningkatan keistimewaan dan sebaliknya beroperasi sepenuhnya dalam sempadan kebenaran pengguna yang sedang log masuk.
Strategi ini membolehkan perisian hasad mewujudkan kedudukan awalnya sambil bergabung dengan operasi peringkat pengguna rutin. Dengan mengelakkan tindakan yang memerlukan keistimewaan yang tinggi, serangan ini mengurangkan kemungkinan mencetuskan amaran keselamatan atau gesaan pentadbiran.
Teknik Penggangguan Visual dan Pelaksanaan Senyap
Selepas pelaksanaan, peringkat pertama perisian hasad melancarkan dokumen umpan untuk mengalihkan perhatian mangsa. Google Chrome dibuka dalam mod skrin penuh untuk memaparkan dokumen kewangan atau invois yang dipaparkan sebagai PDF. Semasa pengguna menumpukan perhatian pada dokumen tersebut, aktiviti berniat jahat berterusan di latar belakang.
Pada masa yang sama, arahan PowerShell dilaksanakan untuk melancarkan semula skrip kelompok asal dengan parameter pelaksanaan tersembunyi. Penggunaan parameter -WindowStyle Hidden menghalang tetingkap konsol yang kelihatan daripada muncul, memastikan aktiviti berniat jahat kekal tersembunyi daripada pengguna.
Kegigihan Melalui Pelaksanaan Permulaan Peringkat Pengguna
Untuk mengekalkan kegigihan selepas sistem dibut semula, perisian hasad akan menggunakan skrip kelompok tambahan ke dalam direktori Permulaan pengguna Windows. Lokasi ini memastikan skrip dilaksanakan secara automatik setiap kali mangsa log masuk ke sistem.
Mekanisme kegigihan ini sengaja dilakukan secara halus. Daripada menggunakan teknik yang lebih mengganggu seperti mengubah suai kunci pendaftaran sistem, mencipta tugasan berjadual atau memasang perkhidmatan, perisian hasad ini bergantung sepenuhnya pada tingkah laku permulaan peringkat pengguna standard. Oleh kerana pendekatan ini beroperasi sepenuhnya dalam konteks keistimewaan pengguna semasa, ia mengelakkan daripada mencetuskan gesaan peningkatan keistimewaan dan mengurangkan kemungkinan pengesanan oleh alat pemantauan pendaftaran.
Rangka Kerja Pengambilan dan Penyahsulitan Muatan
Semasa peringkat seterusnya dalam rantaian jangkitan, perisian hasad akan menghubungi domain TryCloudflare untuk mendapatkan komponen muatan tambahan yang dibungkus dalam arkib ZIP. Arkib ini mengandungi modul yang diperlukan untuk menyahsulit dan melaksanakan muatan perisian hasad akhir.
Arkib yang dimuat turun biasanya mengandungi komponen berikut:
- runn.py – pemuat berasaskan Python yang bertanggungjawab untuk menyahsulit dan menyuntik modul shellcode yang disulitkan ke dalam memori
- new.bin – muatan shellcode yang disulitkan yang dikaitkan dengan XWorm
- xn.bin – muatan shellcode yang disulitkan sepadan dengan Xeno RAT
- pul.bin – muatan shellcode yang disulitkan sepadan dengan AsyncRAT
- a.json, n.json dan p.json – fail utama yang digunakan oleh pemuat Python untuk menyahsulit muatan shellcode secara dinamik semasa runtime
Reka bentuk modular ini membolehkan penyerang menyusun muatan yang berbeza secara bebas dan mengaktifkannya hanya apabila diperlukan.
Python Runtime Terbenam untuk Kemudahalihan dan Kerahsiaan
Sebaik sahaja arkib diekstrak, perisian hasad akan menggunakan masa jalan Python terbenam yang sah yang diperoleh terus daripada python.org. Penyematan penterjemah yang sah menghapuskan pergantungan pada sebarang pemasangan Python yang mungkin sudah wujud pada sistem yang dikompromi.
Dari perspektif penyerang, langkah ini memberikan beberapa kelebihan strategik. Perisian hasad menjadi persekitaran pelaksanaan kendiri yang mampu menyahsulit dan menyuntik muatan tanpa memerlukan kebergantungan luaran. Ini meningkatkan kebolehgunaan merentasi sistem yang berbeza, meningkatkan kebolehpercayaan dan menyumbang kepada operasi yang tersembunyi dengan menggunakan komponen perisian yang sah.
Pelaksanaan Dalam Memori Pelbagai Muatan RAT
Masa jalan Python terbenam kemudiannya digunakan untuk melaksanakan skrip pemuat runn.py. Pemuat menyahsulit kod shell yang berkaitan dengan XWorm dan menyuntiknya ke dalam tika explorer.exe yang sedang berjalan menggunakan suntikan Early Bird APC.
Untuk menggunakan Xeno RAT, perisian hasad ini memanfaatkan binari Microsoft yang sah yang dipanggil AppInstallerPythonRedirector.exe, yang digunakan untuk menggunakan Python dan melaksanakan komponen yang diperlukan. Teknik suntikan yang sama kemudiannya digunakan semula untuk menggunakan AsyncRAT, memastikan semua muatan dilaksanakan sepenuhnya dalam memori tanpa meninggalkan artifak boleh laku tradisional pada cakera.
Petunjuk Perintah dan Kawalan dan Seni Bina Modular
Peringkat terakhir serangan melibatkan penghantaran suar HTTP minimum kepada infrastruktur Perintah-dan-Kawalan (C2) yang dikawal oleh penyerang yang dihoskan di TryCloudflare. Suar ini mengesahkan bahawa sistem telah berjaya dikompromikan dan bersedia untuk menerima arahan selanjutnya.
Walaupun sasaran khusus kempen ini masih belum diketahui, rantaian jangkitan menunjukkan seni bina yang sangat modular. Daripada menggunakan satu muatan perisian hasad yang besar, penyerang memperkenalkan komponen secara berperingkat merentasi pelbagai peringkat. Reka bentuk ini meningkatkan fleksibiliti dan daya tahan operasi.
Dari perspektif pengesanan, satu petunjuk tingkah laku yang ketara muncul sepanjang kempen: suntikan proses berulang ke dalam explorer.exe dalam selang masa yang singkat. Corak ini boleh berfungsi sebagai isyarat kuat untuk pembela yang cuba mengaitkan aktiviti yang mencurigakan merentasi pelbagai peringkat kitaran hayat serangan.
