มัลแวร์ DeepLoad
มีการค้นพบแคมเปญโจมตีใหม่ที่ใช้เทคนิควิศวกรรมสังคม ClickFix ในการเริ่มต้นการติดเชื้อ เหยื่อจะถูกหลอกให้เรียกใช้คำสั่ง PowerShell ที่เป็นอันตรายโดยการวางคำสั่งเหล่านั้นลงในกล่องโต้ตอบ Run ของ Windows ภายใต้ข้ออ้างว่าเป็นการแก้ไขปัญหาของระบบที่สร้างขึ้นมา ขั้นตอนเริ่มต้นนี้ใช้ mshta.exe ซึ่งเป็นยูทิลิตี้ของ Windows ที่ถูกต้องตามกฎหมาย เพื่อดึงและเรียกใช้ตัวโหลดแบบ PowerShell ที่ถูกเข้ารหัส
สารบัญ
การปกปิดที่ออกแบบมาเพื่อการหลบเลี่ยง
โปรแกรมโหลด PowerShell ซ่อนจุดประสงค์ที่แท้จริงไว้ด้วยการกำหนดค่าตัวแปรที่มากเกินไปและไร้ความหมาย ทำให้การวิเคราะห์แบบคงที่ทำได้ยากขึ้นอย่างมาก หลักฐานชี้ให้เห็นว่าเครื่องมือปัญญาประดิษฐ์น่าจะถูกนำมาใช้ในการสร้างชั้นการปกปิดนี้ เพื่อเพิ่มความซับซ้อน วิธีการนี้ช่วยให้มัลแวร์สามารถหลีกเลี่ยงกลไกการตรวจจับแบบดั้งเดิมได้ ในขณะที่ยังคงรักษาความสมบูรณ์ในการทำงานไว้ได้
การพรางตัวผ่านระบบล่องหน
DeepLoad ถูกออกแบบมาโดยเฉพาะให้กลมกลืนกับการทำงานปกติของ Windows อย่างแนบเนียน ส่วนของมัลแวร์ถูกซ่อนไว้ภายในไฟล์ปฏิบัติการชื่อ LockAppHost.exe ซึ่งเป็นกระบวนการที่ถูกต้องตามกฎหมายสำหรับการจัดการหน้าจอล็อกของ Windows เพื่อปกปิดการมีอยู่ของมันให้ดียิ่งขึ้น มัลแวร์จะปิดใช้งานประวัติคำสั่ง PowerShell และเรียกใช้ฟังก์ชันหลักของ Windows โดยตรงแทนที่จะใช้คำสั่ง PowerShell มาตรฐาน เทคนิคนี้ทำให้มันสามารถหลบเลี่ยงระบบตรวจสอบที่ติดตามกิจกรรมของ PowerShell ได้
เทคนิคไร้ไฟล์และการสร้างเพย์โหลดแบบไดนามิก
เพื่อลดโอกาสในการตรวจจับ DeepLoad จะหลีกเลี่ยงการทิ้งร่องรอยที่สม่ำเสมอไว้บนดิสก์ โดยจะสร้างส่วนประกอบรองขึ้นมาแบบไดนามิกโดยใช้คุณสมบัติ Add-Type ของ PowerShell และคอมไพล์โค้ด C# ลงในไฟล์ DLL ชั่วคราวที่จัดเก็บไว้ในไดเร็กทอรี Temp ของผู้ใช้ การเรียกใช้งานแต่ละครั้งจะสร้างไฟล์ที่มีชื่อเฉพาะ ซึ่งเป็นการหลีกเลี่ยงวิธีการตรวจจับแบบไฟล์ที่อาศัยลายเซ็นที่รู้จักได้อย่างมีประสิทธิภาพ
การฉีดขั้นสูงสำหรับการประหารชีวิตแบบลับๆ
กลยุทธ์การหลบเลี่ยงที่สำคัญอย่างหนึ่งคือการใช้การแทรกโค้ดผ่านการเรียกใช้ฟังก์ชันแบบอะซิงโครนัส (APC) มัลแวร์จะเรียกใช้กระบวนการของ Windows ที่ถูกต้องตามกฎหมายในสถานะหยุดชั่วคราว แทรกโค้ดที่เป็นอันตรายเข้าไปในหน่วยความจำโดยตรง และกลับมาทำงานต่อ วิธีนี้ทำให้มั่นใจได้ว่าเพย์โหลดที่เป็นอันตรายจะทำงานภายในกระบวนการที่เชื่อถือได้โดยไม่ต้องเขียนเวอร์ชันที่ถอดรหัสแล้วลงดิสก์ ซึ่งช่วยลดร่องรอยการตรวจสอบทางนิติวิทยาศาสตร์ได้อย่างมาก
กลไกการขโมยข้อมูลประจำตัวแบบถาวร
DeepLoad ได้รับการออกแบบมาเพื่อดึงข้อมูลผู้ใช้ที่ละเอียดอ่อนออกมาทันทีที่เริ่มทำงาน ความสามารถของมันประกอบด้วย:
- การดึงรหัสผ่านเบราว์เซอร์ที่บันทึกไว้โดยตรงจากระบบที่ติดไวรัส
การแพร่กระจายด้านข้างผ่านสื่อที่ถอดออกได้
มัลแวร์นี้ใช้เทคนิคการแพร่กระจายที่ออกแบบมาเพื่อโจมตีอุปกรณ์จัดเก็บข้อมูลแบบถอดได้ เมื่อตรวจพบไดรฟ์ USB หรือสื่อที่คล้ายกัน มันจะคัดลอกไฟล์ทางลัดที่เป็นอันตรายซึ่งปลอมแปลงเป็นไฟล์ติดตั้งที่ถูกต้อง ไฟล์เหล่านี้มีชื่อที่ดูน่าเชื่อถือ เพิ่มโอกาสที่ผู้ใช้จะโต้ตอบและติดเชื้อต่อไป
การติดเชื้อซ้ำโดยไม่รู้ตัวผ่านการใช้ WMI ในทางที่ผิด
DeepLoad สร้างการคงอยู่ของมัลแวร์โดยใช้ Windows Management Instrumentation (WMI) โดยจะสร้างการสมัครรับเหตุการณ์ที่จะกระตุ้นการติดเชื้อซ้ำหลังจากล่าช้าไปสามวัน โดยไม่จำเป็นต้องมีการโต้ตอบจากผู้ใช้หรือการมีส่วนร่วมของผู้โจมตี เทคนิคนี้ยังทำลายแบบจำลองการตรวจจับแบบดั้งเดิมด้วยการทำลายความสัมพันธ์ระหว่างกระบวนการหลักและกระบวนการย่อยที่คาดหวังไว้
เป้าหมายเชิงกลยุทธ์: ครอบคลุมห่วงโซ่การสังหารอย่างสมบูรณ์
การออกแบบโดยรวมของ DeepLoad บ่งชี้ว่าเป็นเฟรมเวิร์กมัลแวร์อเนกประสงค์ที่สามารถดำเนินการต่างๆ ได้ตลอดทั้งห่วงโซ่การโจมตีทางไซเบอร์ กลยุทธ์การปฏิบัติงานของมันมุ่งเน้นไปที่:
- หลีกเลี่ยงการสร้างไฟล์ข้อมูลบนดิสก์เพื่อลดโอกาสในการตรวจจับ
- การผสานกิจกรรมที่เป็นอันตรายเข้ากับกระบวนการทำงานที่ถูกต้องตามกฎหมายของ Windows
- แพร่กระจายอย่างรวดเร็วไปทั่วระบบเพื่อขยายขอบเขตการใช้งาน
ตัวชี้วัดของกรอบภัยคุกคามที่ปรับขนาดได้
โครงสร้างพื้นฐานและการออกแบบแบบโมดูลาร์ของ DeepLoad ชี้ให้เห็นถึงความเป็นไปได้ของรูปแบบการใช้งานแบบแบ่งปันหรือแบบบริการ แม้ว่าลักษณะต่างๆ จะสอดคล้องกับบริการกำจัดมัลแวร์ (Malware-as-a-Service หรือ MaaS) แต่ในปัจจุบันยังไม่มีหลักฐานเพียงพอที่จะยืนยันการจัดประเภทนี้ได้อย่างแน่ชัด
