Snip3 Loader

Morphisec'teki araştırmacılar, 'Snip3' şifreleyici adını verdikleri yeni bir tehdit edici ve oldukça karmaşık kötü amaçlı yazılım tehdidi keşfettiler. Tehdit, bir Hizmet olarak Cryptor şemasında sunulur ve tehlikeye atılan makinelerde son yükler olarak çok sayıda RAT (Uzaktan Erişim Truva Atları) suşları sağlayan devam eden saldırı kampanyalarında kullanılmaktadır. Snip3 yükleyicinin en güçlü özellikleri, PowerShell kodunu 'uzaktan işaretlenmiş' parametre ile yürütme, aşamalandırma için Pastebin ve top4top kullanma, çalışma zamanında runPE yükleyicileri derleme gibi çeşitli gelişmiş tekniklere dayalı algılama önleme ve analiz önleme yetenekleridir. Windows Sandbox ve VMWare sanallaştırma kontrolü.

Saldırı zinciri, ilk saldırı vektörünün kimlik avı e-postaları aracılığıyla yayılan birden çok aşamadan oluşur. Cazibesi mesajları, hedeflenen kullanıcıyı bozuk bir görsel temel dosya indirmesi için kandırmaya çalışır. Bazı durumlarda, tehdit aktörleri bunun yerine kötü amaçlı yazılım araçlarının teslimini gizlemek için büyük bir yükleme dosyası kullandı.

Snip3 Saldırısının İlk Aşaması

İlk aşama, kötü amaçlı yazılım saldırısının bir sonraki aşaması olan ikinci aşama PowerShell betiğinin hazırlanmasından ve başlatılmasından sorumlu bir VB betiğinin konuşlandırılmasını içerir. Infosec araştırmacıları, 11 alt sürümün yanı sıra VB betiğinin dört ana sürümünü belirlemeyi başardılar. 4 sürümü farklılaştıran şey, bir sonraki PowerShell'i yüklemek için kullanılan kesin yöntemdir, alt sürümler ise farklı gizleme türleri kullanır. Bu erken aşamada, tehdit aktörünün bazı sürümlerde gözlemlenen oldukça benzersiz bir teknik uyguladığı unutulmamalıdır - komut dosyası, PowerShell'i komut olarak '-RemoteSigned' parametresiyle çalıştırır.

Snip3 Operasyonunun İkinci Aşaması

İkinci aşama, esas olarak kötü amaçlı yazılımın sanal bir ortamda yürütülmediğinden emin olmak etrafında döner. Her şey beklentiler dahilinde görünüyorsa, PowerShell betiği, seçilen RAT yükünü yansıtıcı bir şekilde boş bir Windows işlemi içinde yürütmek için RUnPE'yi yüklemeye devam edecektir.

Snipe3, vahşi ortamda görülen normal kodla karşılaştırıldığında, Microsoft Sandbox'ı algılayamayan ekstra VM önleme önlemleriyle donatılmıştır. PowerShell komut dosyası, VMWare, VirtualBox veya Windows Sandbox gibi olası VM'leri kontrol etmek için Üretici dizesini çıkarır ve bunu sabit kodlu dizeler listesiyle karşılaştırır. Sandboxie ortamlarını tespit etmek için kötü amaçlı yazılım, SbieDll.dll adlı bir DLL dosyasının işleyicisini çözmeye çalışır. Bir VM bulunursa, kötü amaçlı yazılım, RAT yükünü teslim etmeden işlemlerini sonlandırır.

Bir RAT Tehdidinin Yayılması

Snip3'ün operasyonlarının son aşaması, tehdidin virüslü sisteme seçilen bir RAT kötü amaçlı yazılımını teslim ettiğini görür. Teslimat mekanizması, diğer tehdit edici kampanyalarda yaygın olarak gözlemlenenden farklıdır. Snip3, çalışma zamanında derlenen gömülü ve sıkıştırılmış (GZIP) bir kaynak kodu taşıyarak gizliliğini iki katına çıkarır. Bu kaynak kod, NYAN-x-CAT adlı bir GitHub deposundan runPE'nin değiştirilmiş bir sürümü gibi görünüyor.

Şimdiye kadar, Snip3 tarafından son yük olarak birkaç RAT tehdidinin düştüğü gözlemlendi. Çoğu zaman konuşlandırılmış tehdit unsurları ASyncRAT veya RevengeRAT . Ancak, Snip3 varyantlarının AgentTesla veya NetWire RAT'ı teslim ettiği durumlar olmuştur.

Kuruluşlar açıklanan IoC'yi (Tehlike Göstergeleri) hesaba katmalı ve Snip3'ün algılama merkezli çözümleri kolayca atlamasına izin veren yeteneklerini hesaba katmalıdır.