BendyBear

Een nieuwe, zeer geavanceerde malwarebedreiging is gedetecteerd door de onderzoekers van Palo Alto Networks. De dreiging kreeg de naam BendyBear omdat er sterke banden zijn tussen het en WaterBear, een modulaire malware die wordt gebruikt in een aanvalscampagne die al sinds 2009 gaande is. Hoewel WaterBear is gecategoriseerd als een implantaat met een breed scala aan bedreigende functionaliteiten zoals bestandsmanipulatie en exfiltratie, shell-toegang, screenshot-grabber en meer, komt het niet eens in de buurt van de mogelijkheden van BendyBear.

 De infosec-onderzoekers die BendyBear hebben geanalyseerd, omschrijven het als de meest geavanceerde Chinese malware die tot nu toe is gemaakt. Ze schrijven de release van de malwarebedreiging ook toe aan de cyberspionagegroep BlackTech die aanvalscampagnes heeft uitgevoerd tegen technische entiteiten en overheidsinstanties in Oost-Azië.

 Wanneer BendyBear op de computer van het doelwit wordt ingezet, fungeert het als een stadium-nul-implantaat dat wordt belast met de levering van een robuustere payload van de volgende fase. Als zodanig is het doel van de aanvallers om de dreiging zo veel mogelijk verborgen te houden. Het lijkt misschien contra-intuïtief dat BendyBear met meer dan 10.000 bytes aan machinecode aanzienlijk groter is dan andere bedreigingen van hetzelfde type. Door de grotere omvang konden de hackers hun malwaretool echter verpakken met een overvloed aan complexe detectie-vermijdings- en anti-analysetechnieken.

 Geavanceerde stealth- en detectie-ontwijkingsfuncties

 De dreiging heeft een zeer kneedbare structuur. Het voert controles uit op tekenen van anti-debugging tools en probeert statische detectie te vermijden door middel van positie-onafhankelijke code. Elke communicatiesessie met de Command-and-Control (C2, C&C) -infrastructuur van de campagne gaat gepaard met het genereren van een unieke sessiesleutel. Om het abnormale verkeer dat het creëert te verbergen, probeert BendyBear zich aan te passen aan het normale SSL-netwerkverkeer door een gemeenschappelijke poort (443) te gebruiken.

 Voor codering gebruikt BendyBear een gemodificeerde RC4-codering. Andere unieke aspecten van de dreiging zijn de polymorfe code waarmee het zijn runtime-voetafdruk kan wijzigen tijdens de uitvoering van de code en de mogelijkheid om handtekeningblokverificatie uit te voeren. Om de configuratiegegevens op te slaan, maakt BendyBear gebruik van een reeds bestaande registersleutel die standaard is ingeschakeld in Windows 10-systemen. Om de sporen die het achterlaat verder te minimaliseren, laadt de dreiging de payloads van de volgende fase rechtstreeks in het geheugen van het gecompromitteerde systeem zonder ze op de schijf te laten vallen.

 BendyBear is uitzonderlijk moeilijk te detecteren en organisaties moeten waakzaam blijven om de aanval in een vroeg stadium op te vangen.