Atakujący wykorzystują dzienniki zdarzeń, aby ukryć bezplikowe złośliwe oprogramowanie

Wyrafinowana kampania wykorzystuje nowatorską metodę przeciwdziałania wykryciu.

Badacze odkryli złośliwą kampanię wykorzystującą niespotykaną wcześniej technikę umieszczania na komputerach docelowych złośliwego bezplikowego oprogramowania.

Technika ta polega na wstrzykiwaniu kodu bezpośrednio do dzienników zdarzeń systemu Windows. Pozwala to atakującym na stworzenie przykrywki dla szkodliwych „trojanów w późnym stadium rozwoju” – wynika z opublikowanego w środę raportu firmy Kaspersky.

Badacze wykryli tę kampanię w lutym i uważają, że niezidentyfikowani przeciwnicy byli aktywni od tego momentu.

„Uważamy, że technika dzienników zdarzeń, jest najbardziej innowacyjną częścią tej kampanii” – napisał Denis Legezo, starszy badacz bezpieczeństwa z Globalnego Zespołu Badań i Analiz Kaspersky.

Atakujący, którzy stoją za tą kampanią, wykorzystują szereg narzędzi wstrzykujących oraz technik zapobiegających wykrywaniu w celu dostarczenia szkodliwego ładunku. „Wykorzystanie co najmniej dwóch produktów komercyjnych oraz kilku rodzajów RAT ostatniego etapu oraz ciężkich do wykycia wrapperów świadczy o tym, że atakujący stojący za tą kampanią jest całkiem zdolny” – napisał Legezo.

Autor: Kapitan Hack Data dodania: 12 maj 2022 10:55 6 min czytania

Złośliwe oprogramowanie bez plików ukrywa się w widocznym miejscu (dzienniki zdarzeń)

Pierwszy etap ataku polega na tym, że przeciwnik kieruje cel na legalną stronę internetową i nakłania go do pobrania skompresowanego pliku .RAR, w którym znajdują się narzędzia do przeprowadzania testów penetracyjnych sieci o nazwie Cobalt Strike i SilentBreak. Oba narzędzia są popularne wśród hakerów, którzy wykorzystują je do przenoszenia kodu na komputery docelowe.

Cobalt Strike i SilentBreak wykorzystują oddzielne, odporne na wykrywanie deszyfratory AES, skompilowane za pomocą Visual Studio. Certyfikat cyfrowy dla modułu Cobalt Strike jest różny. Według Kasperskiego, „podpisanych zostało 15 różnych stopni”.

Następnie, osoby atakujące są w stanie wykorzystać Cobalt Strike i SilentBreak do „wstrzyknięcia kodu do dowolnego procesu” i mogą implementować dodatkowe moduły do procesów systemowych Windows lub zaufanych aplikacji, takich jak DLP.

„Ta warstwa łańcucha infekcji odszyfrowuje, mapuje do pamięci i uruchamia kod” – twierdzą badacze.

Możliwość wstrzyknięcia złośliwego oprogramowania do pamięci systemu klasyfikuje je jako bezplikowe. Jak sama nazwa wskazuje, złośliwe oprogramowanie bez plików infekuje komputery, nie pozostawiając żadnych śladów na lokalnym dysku twardym, co ułatwia omijanie tradycyjnych zabezpieczeń opartych na sygnaturach i narzędziach kryminalistycznych. Technika ta, w której osoby atakujące ukrywają swoje działania w pamięci komputera i wykorzystują natywne narzędzia systemu Windows, takie jak PowerShell i Windows Management Instrumentation (WMI), nie jest nowa. Pisalaiśmy o tym między innymi tutaj.

Nowością jest jednak sposób, w jaki zaszyfrowany kod powłoki zawierający złośliwy ładunek jest osadzany w dziennikach zdarzeń systemu Windows. Aby uniknąć wykrycia, kod „jest dzielony na bloki o rozmiarze 8 KB i zapisywany w binarnej części dzienników zdarzeń”.

Legezo powiedział: „dropper nie tylko umieszcza launcher na dysku w celu ładowania bocznego, ale również zapisuje wiadomości informacyjne z shellcode do istniejącego dziennika zdarzeń Windows KMS.”

„Upuszczony wer.dll jest loaderem i nie wyrządziłby żadnej szkody bez shellcodu ukrytego w dziennikach zdarzeń systemu Windows” – kontynuuje. „Dropper przeszukuje dzienniki zdarzeń w poszukiwaniu rekordów z kategorią 0x4142 („AB” w ASCII) i mających jako źródło usługę zarządzania kluczami. Jeżeli żaden nie zostanie znaleziony, 8-kilobajtowe fragmenty kodu powłoki są zapisywane w wiadomościach dziennika zdarzeń za pomocą funkcji ReportEvent() Windows API.

Następnie do katalogu Windows Tasks wrzucany jest launcher. „W punkcie wejścia osobny wątek łączy wszystkie wspomniane kawałki 8KB w kompletny shellcode i uruchamia go” – podaje badacz.

Tożsamość atakujących

Wykorzystując to podejście, atakujący mogą dostarczyć jednego z dwóch trojanów zdalnego dostępu (RAT), z których każdy jest połączeniem złożonego, niestandardowego kodu i elementów publicznie dostępnego oprogramowania.

Najlepsze, co mogą zrobić analitycy, to zagłębić się w taktykę, techniki i procedury (TTP) atakujących oraz w pisany przez nich kod. Jeśli te TTP lub kod pokrywają się z wcześniejszymi kampaniami znanych podmiotów, może to stanowić podstawę do wskazania podejrzanego.

W tym przypadku badacze mieli trudności z przypisaniem kampanii konkretnemu podmiotowi.

Dzieje się tak dlatego, że poza bezprecedensową techniką wstrzykiwania kodu powłoki do dzienników zdarzeń systemu Windows, kampania ta ma jeszcze jeden unikalny element: sam kod. O ile droppery są produktami komercyjnymi, o tyle wrappery antydetekcyjne i RAT, z którymi są sparowane, zostały stworzone na zamówienie (chociaż, jak zastrzegają badacze, „niektóre moduły, które uważamy za niestandardowe, takie jak wrappery i last stagery, mogą być częściami produktów komercyjnych”).

Według raportu, „kod jest dość unikalny i nie wykazuje żadnych podobieństw do znanego złośliwego oprogramowania”. Z tego powodu badacze nie ustalili jeszcze tożsamości atakujących.