Popust za več licenc
Podjetje o grožnjah Zlonamerna programska oprema Zlonamerna programska oprema VOID#GEIST

Zlonamerna programska oprema VOID#GEIST

Do leta Mezo leta Zlonamerna programska oprema, Orodja za oddaljeno upravljanje
Prevedi v:

Raziskovalci kibernetske varnosti so odkrili sofisticirano večstopenjsko kampanjo zlonamerne programske opreme, ki se zanaša na paketne skripte za pošiljanje šifriranih koristnih tovorov trojanskih konjev za oddaljeni dostop (RAT). Kampanja, identificirana kot VOID#GEIST, uporablja več družin RAT, vključno z XWorm, AsyncRAT in Xeno RAT.

Napadalna veriga izkorišča zakrit paketni skript, ki sproži zaporedje dejanj, namenjenih izogibanju odkrivanju. Ta dejanja vključujejo zagon dodatnega paketnega skripta, pripravo legitimnega vgrajenega izvajalnega okolja Python in dešifriranje šifriranih koristnih nakladov lupinske kode. Lupinska koda se izvede neposredno v pomnilniku, potem ko je vbrizgana v ločene primerke procesa Windows explorer.exe z uporabo tehnike, znane kot vbrizgavanje asinhronih procedurnih klicev (APC).

Dostava zlonamerne programske opreme s skriptnim pogonom: sodoben model groženj

Sodobni akterji groženj vse bolj opuščajo tradicionalno samostojno izvedljivo zlonamerno programsko opremo v korist večplastnih, na skriptih temelječih ogrodjih za dostavo, ki posnemajo vedenje legitimnih uporabnikov. Namesto uporabe običajnih prenosnih izvedljivih binarnih datotek (PE) napadalci orkestrirajo večkomponentne cevovode, ki združujejo več legitimnih tehnologij in skriptnih okolij.

Tipične komponente, ki se uporabljajo v teh okvirih, vključujejo:

  • Paketni skripti, ki se uporabljajo za orkestriranje zaporedja okužbe.
  • Ukazi PowerShell, ki omogočajo prikrito pripravo koristnega tovora.
  • Vgrajena legitimna okolja izvajanja, ki zagotavljajo prenosljivost med sistemi.
  • Surova shellcode, izvedena neposredno v pomnilniku za ohranjanje vztrajnosti in nadzora.

Ta pristop izvajanja brez datotek znatno zmanjša možnosti za odkrivanje na disku. Vsaka posamezna faza se zdi relativno neškodljiva, če jo pregledamo neodvisno, in pogosto spominja na rutinsko administrativno dejavnost, kar akterjem grožnje omogoča delovanje v ogroženih okoljih, ne da bi sprožili takojšnja varnostna opozorila.

Začetni dostop prek lažnega predstavljanja in infrastrukture Cloudflare

Vstopna točka napada se začne z zlonamerno paketno skripto, dostavljeno prek lažnih e-poštnih sporočil. Skripta se pridobi iz infrastrukture, ki gostuje na domeni TryCloudflare. Ko se skripta izvede, se namerno izogne poskusom stopnjevanja privilegijev in namesto tega deluje strogo znotraj meja dovoljenj trenutno prijavljenega uporabnika.

Ta strategija omogoča zlonamerni programski opremi, da se ustali, medtem ko se zlije z rutinskimi operacijami na ravni uporabnika. Z izogibanjem dejanjem, ki zahtevajo povečane privilegije, napad zmanjša verjetnost sprožitve varnostnih opozoril ali skrbniških pozivov.

Vizualna distrakcija in tehnike prikritega izvajanja

Po izvedbi prva faza zlonamerne programske opreme zažene dokument-vabo, da bi žrtev zamotila. Google Chrome se odpre v celozaslonskem načinu, da prikaže finančni dokument ali račun, predstavljen v obliki PDF-ja. Medtem ko se uporabnik osredotoča na dokument, se zlonamerna dejavnost nadaljuje v ozadju.

Hkrati se izvede ukaz PowerShell za ponovni zagon izvirnega paketnega skripta s skritimi parametri izvajanja. Uporaba parametra -WindowStyle Hidden preprečuje prikaz vidnega okna konzole, s čimer se zagotovi, da zlonamerna dejavnost ostane skrita pred uporabnikom.

Vztrajnost z izvajanjem zagona na ravni uporabnika

Za ohranitev delovanja po ponovnem zagonu sistema zlonamerna programska oprema v zagonski imenik uporabnika sistema Windows namesti pomožni paketni skript. Ta lokacija zagotavlja, da se skript samodejno izvede vsakič, ko se žrtev prijavi v sistem.

Ta mehanizem vztrajnosti je namerno subtilen. Namesto uporabe bolj vsiljivih tehnik, kot so spreminjanje ključev sistemskega registra, ustvarjanje načrtovanih opravil ali nameščanje storitev, se zlonamerna programska oprema zanaša izključno na standardno vedenje zagona na ravni uporabnika. Ker pristop deluje izključno v kontekstu pravic trenutnega uporabnika, se izogne sprožanju pozivov za stopnjevanje pravic in zmanjša verjetnost odkritja z orodji za spremljanje registra.

Okvir za pridobivanje in dešifriranje koristnega tovora

V naslednji fazi okuževalne verige zlonamerna programska oprema stopi v stik z domeno TryCloudflare, da pridobi dodatne komponente koristnega nalaganja, zapakirane v ZIP arhivih. Ti arhivi vsebujejo module, potrebne za dešifriranje in izvajanje končnih koristnih naloženih komponent zlonamerne programske opreme.

Preneseni arhiv običajno vsebuje naslednje komponente:

  • runn.py – nalagalnik, ki temelji na Pythonu in je odgovoren za dešifriranje in vbrizgavanje šifriranih modulov shellcode v pomnilnik
  • new.bin – šifrirana koristna koda shellcode, povezana z XWorm
  • xn.bin – šifrirana koda shellcode, ki ustreza Xeno RAT
  • pul.bin – šifrirana koristna koda shellcode, ki ustreza AsyncRAT
  • a.json, n.json in p.json – ključne datoteke, ki jih nalagalnik Pythona uporablja za dinamično dešifriranje koristnih podatkov shellcode med izvajanjem

Ta modularna zasnova napadalcem omogoča, da neodvisno namestijo različne koristne tovore in jih aktivirajo le, kadar je to potrebno.

Vgrajeno izvajalno okolje Python za prenosljivost in prikritost

Ko je arhiv razpakiran, zlonamerna programska oprema namesti legitimno vgrajeno izvajalno okolje Python, pridobljeno neposredno s spletne strani python.org. Vdelava legitimnega interpreterja odpravi odvisnost od morebitne namestitve Pythona, ki morda že obstaja v ogroženem sistemu.

Z vidika napadalca ta korak prinaša več strateških prednosti. Zlonamerna programska oprema postane samostojno okolje za izvajanje, ki je sposobno dešifrirati in vbrizgavati koristne tovore brez potrebe po zunanjih odvisnostih. To izboljša prenosljivost med različnimi sistemi, poveča zanesljivost in prispeva k operativni prikritosti z uporabo legitimnih programskih komponent.

Izvajanje več RAT koristnih obremenitev v pomnilniku

Vgrajeno izvajalno okolje Python se nato uporabi za izvajanje skripte nalagalnika runn.py. Nalagalnik dešifrira lupinsko kodo, povezano z XWorm, in jo z uporabo APC injekcije Early Bird vbrizga v delujočo instanco explorer.exe.

Za namestitev Xeno RAT zlonamerna programska oprema uporablja legitimno Microsoftovo binarno datoteko z imenom AppInstallerPythonRedirector.exe, ki se uporablja za klic Pythona in izvajanje zahtevanih komponent. Ista tehnika vbrizgavanja se nato ponovno uporabi za namestitev AsyncRAT, kar zagotavlja, da se vsi koristni tovori v celoti izvedejo v pomnilniku, ne da bi na disku ostali tradicionalni izvedljivi artefakti.

Sistemi za upravljanje in nadzor ter modularna arhitektura

Zadnja faza napada vključuje pošiljanje minimalnega HTTP-oddajnika napadalčevi nadzorovani infrastrukturi Command-and-Control (C2), ki gostuje na TryCloudflare. Ta oddajnik potrdi, da je bil sistem uspešno ogrožen in je pripravljen na prejemanje nadaljnjih navodil.

Čeprav specifični cilji kampanje ostajajo neznani, veriga okužb kaže zelo modularno arhitekturo. Namesto da bi namestili en sam velik nabor zlonamerne programske opreme, napadalci postopoma uvajajo komponente v več fazah. Ta zasnova izboljša operativno fleksibilnost in odpornost.

Z vidika zaznavanja se v celotni kampanji pojavlja en opazen vedenjski kazalnik: ponavljajoče se vbrizgavanje procesov v explorer.exe v kratkih časovnih intervalih. Ta vzorec lahko služi kot močan signal za branilce, ki poskušajo povezati sumljive dejavnosti v različnih fazah življenjskega cikla napada.

V trendu

Najbolj gledan

Nalaganje...