แคมเปญมัลแวร์แบบสองเพย์โหลด
แคมเปญมัลแวร์ที่เพิ่งถูกค้นพบใหม่นี้กำลังดึงดูดความสนใจอย่างมากในแวดวงความปลอดภัยทางไซเบอร์ เนื่องจากความสามารถในการแพร่กระจายภัยคุกคามสองแบบพร้อมกัน โดยใช้ตัวโหลดที่ซ่อนเร้นเพียงตัวเดียวในการส่งทั้ง Gh0st RAT และ CloverPlus ไปยังระบบที่ถูกโจมตีเดียวกัน
การผสมผสานนี้ทั้งไม่ธรรมดาและมีกลยุทธ์สูงมาก Gh0st RAT ช่วยให้สามารถควบคุมเครื่องที่ติดไวรัสจากระยะไกลได้อย่างสมบูรณ์ ในขณะที่ CloverPlus มุ่งเน้นไปที่การจัดการกิจกรรมของเบราว์เซอร์ การแทรกส่วนประกอบโฆษณา และการสร้างรายได้ผ่านป๊อปอัพที่รบกวน การใช้งานแบบคู่ขนานนี้ช่วยให้ผู้โจมตีสามารถเข้าถึงเครื่องโดยไม่ได้รับอนุญาตได้อย่างต่อเนื่องในขณะที่สร้างรายได้จากไวรัสแบบเรียลไทม์
แคมเปญนี้เน้นให้เห็นถึงแนวโน้มที่เพิ่มขึ้นของการส่งเพย์โหลดหลายตัว ซึ่งผู้โจมตีใช้เพื่อเพิ่มประสิทธิภาพในการปฏิบัติงานและผลตอบแทนทางการเงินให้สูงสุดจากการเจาะระบบเพียงครั้งเดียว
สารบัญ
กลยุทธ์การปกปิดข้อมูล: การซ่อนข้อมูลที่ส่งมา
โปรแกรมโหลดเดอร์ที่เป็นหัวใจหลักของแคมเปญนี้ได้รับการออกแบบมาเพื่อการซ่อนเร้น มันฝังเพย์โหลดที่เข้ารหัสไว้สองชุดไว้ในส่วนทรัพยากร โดยใช้เทคนิคการปกปิดเพื่อหลีกเลี่ยงกลไกการตรวจจับแบบดั้งเดิม
การทำงานเริ่มต้นด้วยโมดูลแอดแวร์ CloverPlus ซึ่งระบุว่าเป็น AdWare.Win32.CloverPlus และเชื่อมโยงกับไฟล์ปฏิบัติการชื่อ wiseman.exe ส่วนประกอบนี้จะแก้ไขการตั้งค่าการเริ่มต้นของเบราว์เซอร์และแทรกโฆษณาป๊อปอัพถาวร
หลังจากนั้น โปรแกรมโหลดจะประเมินเส้นทางการทำงาน หากไม่ได้ทำงานจากไดเร็กทอรี %temp% ของระบบ โปรแกรมจะสร้างสำเนาของตัวเองไว้ที่นั่นก่อนดำเนินการต่อไป ขั้นตอนต่อไปคือการถอดรหัสโมดูลไคลเอ็นต์ Gh0st RAT ซึ่งซ่อนอยู่เป็นทรัพยากรที่เข้ารหัสไว้ภายในไบนารีของมัลแวร์เช่นกัน
เมื่อถอดรหัสแล้ว มัลแวร์จะกำหนดชื่อไฟล์แบบสุ่มให้กับเพย์โหลดและจัดเก็บไว้ในโฟลเดอร์ที่มีชื่อแบบสุ่มซึ่งอยู่ที่รากของไดรฟ์ C:\ ทำให้การตรวจจับและการวิเคราะห์ทำได้ยากยิ่งขึ้น
การดำรงชีวิตด้วยการพึ่งพาธรรมชาติ: เครื่องมือที่ไว้ใจได้ กับเจตนาร้าย
ในการเรียกใช้เพย์โหลดที่ถอดรหัสแล้ว มัลแวร์จะใช้ยูทิลิตี้ rundll32.exe ของ Windows ที่ถูกต้องตามกฎหมาย วิธีนี้ช่วยให้สามารถเรียกใช้โค้ดที่เป็นอันตรายภายใต้การปลอมตัวเป็นกระบวนการระบบที่เชื่อถือได้ ซึ่งลดโอกาสที่ระบบป้องกันความปลอดภัยจะตรวจจับได้อย่างมาก
เมื่อเริ่มทำงานแล้ว Gh0st RAT จะเริ่มทำการวิเคราะห์ระบบที่ถูกบุกรุกโดยการรวบรวมตัวระบุเฉพาะ เช่น ที่อยู่ MAC และหมายเลขประจำเครื่องของฮาร์ดไดรฟ์ รายละเอียดเหล่านี้จะถูกนำไปใช้ในการลงทะเบียนเหยื่อภายในโครงสร้างพื้นฐานการควบคุมและสั่งการของผู้โจมตี เพื่อให้มั่นใจได้ถึงการติดตามและจัดการโฮสต์ที่ติดเชื้ออย่างแม่นยำ
กลไกการคงอยู่: การรับประกันการเข้าถึงในระยะยาว
การรักษาการเข้าถึงหลังจากระบบรีบูตเป็นเป้าหมายหลักของแคมเปญนี้ Gh0st RAT บรรลุการคงอยู่ในการเข้าถึงผ่านเทคนิคหลายอย่างที่ฝังลึกอยู่ในระบบปฏิบัติการ:
แก้ไขคีย์รีจิสทรี Run ของ Windows เพื่อให้ระบบเรียกใช้งานโดยอัตโนมัติเมื่อเริ่มต้นระบบ
การลงทะเบียนไฟล์ DLL ที่เป็นอันตรายภายในเส้นทางบริการการเข้าถึงระยะไกลภายใต้ SYSTEM\CurrentControlSet\Services\RemoteAccess\RouterManagers\Ip
วิธีการเหล่านี้จะมอบสิทธิ์ระดับ SYSTEM ให้กับมัลแวร์ทุกครั้งที่มีการเรียกใช้บริการที่เกี่ยวข้อง ทำให้ไม่จำเป็นต้องมีการโต้ตอบจากผู้ใช้เพิ่มเติม และเสริมสร้างการควบคุมในระยะยาว
การตรวจจับและการป้องกัน: ตัวบ่งชี้การถูกบุกรุก
แคมเปญนี้ส่งผลกระทบอย่างมากต่อทั้งบุคคลและองค์กร ในขณะที่ส่วนประกอบแอดแวร์รบกวนการทำงานของเบราว์เซอร์และเพิ่มความเสี่ยงต่อการได้รับโฆษณาที่เป็นอันตราย ส่วนประกอบ RAT ช่วยให้สามารถขโมยข้อมูล บันทึกการกดแป้นพิมพ์ หลีกเลี่ยงระบบรักษาความปลอดภัย และเข้าถึงสิทธิ์ระดับสูงได้อย่างต่อเนื่อง
ทีมรักษาความปลอดภัยควรเฝ้าระวังและตรวจสอบตัวบ่งชี้การถูกโจมตีต่อไปนี้อย่างต่อเนื่อง:
- การเรียกใช้ rundll32.exe เพื่อโหลด DLL หรือไฟล์นามสกุลที่ไม่เป็นมาตรฐานจากไดเร็กทอรีที่ผิดปกติหรือน่าสงสัย
- ประมวลผลกิจกรรมที่มาจากโฟลเดอร์ %temp%
- การแก้ไขรีจิสทรีคีย์ Run หรือการกำหนดค่าบริการ RemoteAccess โดยไม่ได้รับอนุญาต
- การใช้การหน่วงเวลาตามค่า ping เพื่อหลีกเลี่ยงการตรวจจับของระบบแซนด์บ็อกซ์
- รูปแบบการรับส่งข้อมูล DNS ที่ผิดปกติและการเปลี่ยนแปลงที่ไม่คาดคิดในไฟล์ hosts ของระบบ
การเฝ้าระวังเชิงรุกและการตอบสนองอย่างรวดเร็วต่อสัญญาณเหล่านี้มีความสำคัญอย่างยิ่งต่อการลดความเสี่ยงที่เกิดจากแคมเปญมัลแวร์คุกคามสองด้านที่ซับซ้อนนี้
