GHOSTFORM RAT
GHOSTFORM je trojanski konj za oddaljeni dostop (RAT), ki temelji na .NET in je zasnovan tako, da združuje več zlonamernih zmogljivosti v eno samo izvedljivo binarno datoteko. Zlonamerna programska oprema izvaja skripte PowerShell neposredno v pomnilniku, kar zmanjšuje verjetnost odkritja s tradicionalnimi varnostnimi orodji. Za nadaljnje izogibanje varnostnim mehanizmom uporablja tehnike, kot so nevidni obrazci sistema Windows in časovniki z zakasnitvijo izvajanja. Zaradi svojega prikritega vedenja in obsežnih zmogljivosti bi moralo vsako odkritje GHOSTFORMA sprožiti takojšnje postopke odstranitve in odzivanja na incidente.
Kazalo
Prva veriga napadov: Večstopenjsko uvajanje zlonamerne programske opreme
Prva veriga napadov se začne z dostavo z geslom zaščitenega arhiva RAR, ki vsebuje lažno aplikacijo, zasnovano tako, da spominja na WinRAR. Ko žrtev odpre arhiv, se izvede program SPLITDROP. Ta program namesti dve dodatni komponenti zlonamerne programske opreme: TWINTASK in TWINTALK.
SPLITDROP najprej od žrtve zahteva geslo, da bi lahko izvlekel skriti arhiv. Če je arhiv že prisoten v sistemu, se izvajanje ustavi. V nasprotnem primeru program za odstranjevanje v ozadju dešifrira vdelani koristni tovor, medtem ko uporabniku prikaže zavajajoče sporočilo o napaki. Dešifrirana vsebina se shrani v imenik »C:\ProgramData\PolGuid«, nakar se zažene legitimna izvršljiva datoteka z imenom VLC.exe za nadaljevanje napada.
Ko se VLC.exe zažene, naloži zlonamerno dinamično povezovalno knjižnico z imenom TWINTASK prek stranskega nalaganja DLL. Ta komponenta čaka na navodila napadalca in jih izvede s PowerShellom. Več ukazov se uporablja posebej za vzpostavitev obstojnosti v sistemu in začetek naslednje faze vdora. Kot del tega postopka skript zažene WingetUI.exe in ustvari vnose v register, ki zagotavljajo, da se tako VLC.exe kot WingetUI.exe samodejno zaženeta ob vsakem ponovnem zagonu sistema.
TWINTALK in TWINTASK: Usklajeno izvajanje ukazov
Ko se WingetUI.exe zažene, naloži drug zlonamerni modul, znan kot TWINTALK. Ta komponenta se poveže z napadalčevim strežnikom za upravljanje in nadzor ter pridobi navodila. TWINTALK sodeluje s TWINTASK pri izvajanju ukazov na ogroženem računalniku.
TWINTALK podpira tri glavne kategorije ukazov:
- Izvajanje ukaza na okuženi napravi
- Prenos datotek iz infrastrukture napadalca
- Nalaganje datotek iz ogroženega sistema napadalcu
S temi zmožnostmi napadalci pridobijo obsežen nadzor nad okuženim okoljem.
Napadalna veriga dva: Neposredna izvedba GHOSTFORM
Druga napadalna veriga uporablja GHOSTFORM sam za izvajanje vseh funkcij, ki jih obdelujejo več komponent v prvi verigi. Namesto nameščanja več datotek ali zanašanja na stransko nalaganje DLL ta različica izvaja ukaze PowerShell neposredno v pomnilniku.
Da bi ostala neopažena, zlonamerna programska oprema ustvari neviden obrazec sistema Windows, ki zakasni izvajanje, preden se zažene koristni naklad. Poleg tega kampanja uporablja Google Forms kot del vabe socialnega inženiringa, da bi žrtve spodbudila k začetku zlonamerne dejavnosti.
Tehnike izogibanja in vztrajnosti
GHOSTFORM vključuje več mehanizmov, zasnovanih za zmanjšanje zaznavnosti in ohranjanje dolgoročnega dostopa do ogroženih sistemov. Zlonamerna programska oprema namerno zavlačuje svojo aktivnost z ustvarjanjem skoraj nevidnega obrazca sistema Windows, ki pred nadaljevanjem izvajanja zažene časovnik z naključno določeno zakasnitvijo.
Prav tako ustvari mutex, ki zagotavlja, da se v sistemu izvaja le en primerek zlonamerne programske opreme, in ustvari edinstven identifikator bota za sledenje okuženim računalnikom. Trojanci za oddaljeni dostop te vrste se pogosto uporabljajo za nameščanje dodatnih koristnih tovorov, krajo občutljivih podatkov in datotek ali izvajanje drugih zlonamernih operacij v okolju žrtve.
Ključne zmogljivosti, ki so običajno povezane s kampanjo, vključujejo:
- Namestitev dodatnih koristnih tovorov zlonamerne programske opreme
- Kraja informacij in datotek z okuženih naprav
- Izvajanje oddaljenih ukazov prek PowerShella
- Dolgotrajna vztrajnost znotraj ogroženih sistemov
Socialni inženiring ClickFix: vektor okužbe, osredotočen na človeka
Kampanja se ne zanaša zgolj na dostavo zlonamerne programske opreme. Vključuje tudi tehniko socialnega inženiringa, znano kot ClickFix , za ogrožanje sistemov. Napadalci ustvarijo prepričljive lažne spletne strani, namenjene manipulaciji uporabnikov, da izvajajo zlonamerne ukaze.
Primeri vključujejo ponarejena vabila na sestanke Cisco Webex ali goljufive spletne obrazce, ki so videti legitimni. Žrtve dobijo navodila, naj izvedejo ukaze, ki samodejno prenesejo in izvedejo zlonamerno programsko opremo, s čimer nevede sprožijo ogrožanje.
Mešanje zlonamerne programske opreme in prevare
Ta kampanja prikazuje usklajen pristop, ki združuje tehnično uvajanje zlonamerne programske opreme s psihološko manipulacijo. Napadalci distribuirajo zlonamerne datoteke, prikrite kot neškodljive programe, podobne orodjem WinRAR. Ko so datoteke odprte, v operacijski sistem vbrizgajo skrite komponente zlonamerne programske opreme.
Ko je nameščena, ena od komponent tiho deluje v ozadju in občasno preverja strežnik napadalca za šifrirana navodila ter jih izvaja prek PowerShella. Vzporedno se napadi v slogu ClickFixa zanašajo na lažne ankete, zavajajoča povabila na sestanke ali goljufive spletne obrazce, da bi uporabnike prepričali k izvajanju ukazov, ki sprožijo prenose zlonamerne programske opreme.
Z združevanjem naprednih orodij za zlonamerno programsko opremo, kot so TWINTASK, TWINTALK in GHOSTFORM, s skrbno izdelanimi tehnikami socialnega inženiringa, akterji grožnje znatno povečajo stopnjo uspešnosti ogrožanja sistema in ohranjajo trajen oddaljeni nadzor nad okuženimi napravami.
