Исследователи безопасности обнаружили, что хакеры нашли способ заразить журналы событий Windows бесфайловым вредоносным ПО.
Исследователи «Лаборатории Касперского» 4 мая обнаружили «новый тайник для бесфайловых вредоносных программ». Во время «очень целенаправленной» кампании хакеры использовали журналы событий Windows для внедрения полезной нагрузки
Этот новый подход очень сложен, но все же может стать популярным, поскольку он кажется достаточно эффективным для внедрения вредоносной DLL и уклонения от обнаружения. Исследователи «Лаборатории Касперского» обнаружили, что злоумышленники использовали различные инструменты, в том числе пользовательские и коммерческие решения, такие как Cobalt Strike, и новый набор инструментов, используемый хакерами.
Исследователи заявили, что это явно работа продвинутого злоумышленника, но они не могут приписать кампанию известной APT — группе. Кампания пока называется «SilentBreak» по названию набора инструментов, который использовали хакеры.
Техники атаки SilentBreak
Исследователей поразило «разнообразие приемов и модулей кампании», поэтому они составили классификацию, чтобы проанализировать модули один за другим:
Все эти этапы стали возможными благодаря тому, что хакерам удалось обманом заставить цель загрузить зараженный файл.rar с легитимного
Как злоумышленники внедрили код в журналы Windows
Исследователи обнаружили вредоносные полезные нагрузки в журналах событий Windows для служб управления ключами (KMS):
Для достижения первого этапа своей кампании хакеры использовали специальный дроппер вредоносных программ, который копирует законный исполняемый файл отчетов об ошибках Windows (WerFault.exe) в C: \Windows\Tasks, а затем сбрасывает вредоносный двоичный файл в тот же каталог:
Этот метод называется перехватом DLL и заключается в замене требуемого файла DLL вредоносным и размещении его в том же каталоге, что и целевое приложение. Система использует файлы DLL (библиотека динамической компоновки) для хранения некоторых ресурсов, необходимых приложению, которые будут загружаться автоматически.
Затем новый WerFault.exe настраивается на автозапуск, что создает «значение отчета о проблемах Windows в ветке системного реестра Software\Microsoft\Windows\CurrentVersion\Run Windows».
Затем дроппер ищет журналы с определенной категорией (0×4142) и с KMS в качестве источника. Если он не находит его, зашифрованный
Исследователи «Лаборатории Касперского» изучили код и обнаружили, что он действует как прокси для перехвата всех обращений к исходной библиотеке (легитимной) и подготовки следующих этапов, что указывает на итеративную процедуру.
Хакеры сосредоточились на уклонении
Очевидно, что главным приоритетом этой операции было остаться незамеченным. Для этого злоумышленники использовали различные методы защиты от обнаружения, такие как:
- законный цифровой сертификат для подписи вредоносных файлов
- автоматически запускаемые копии законных исполняемых файлов (Werfault.exe)
- обертки для защиты от обнаружения, скомпилированные на различных языках, таких как Go или C++
- запутанные имена функций в коде
- вредоносные инструкции, разбитые на куски
шелл-кода в журналах событий Windows
Анализ вредоносного ПО, проведенный «Лабораторией Касперского», весьма примечателен и подробен. Исследователям пришлось написать собственные сценарии для расшифровки всех скрытых областей.
Согласно исследованиям, самым необычным и инновационным аспектом кампании SilentBreak является «Зашифрованный
На втором этапе хакеры использовали специальные программы запуска дешифратора для Cobalt Strike, чтобы расшифровать
Кампания опиралась на троянов
Злоумышленники использовали два типа троянов:
HTTP-троянец с C2 (управление и управление)- Троянец на основе именованного канала
Зашифрованный
Были также неиспользуемые строки, такие как «дэйв» и константа «4». Исследователи полагали, что лаунчер может поддерживать другие модули, требующие дополнительных параметров, которые могли бы объяснить такие артефакты.
Похоже, что
Затем эта информация используется для отправки целевых инструкций через мошеннический канал связи (C2).
По словам исследователей, троянец
Как защититься от атак журнала событий
Столь высокая степень подготовки и затраты времени на написание пользовательских модулей и дешифраторов позволяют предположить работу продвинутой хакерской группы, которая на момент написания остается неустановленной.
Вы мало что можете сделать, чтобы предвидеть такие громкие атаки, и антивирусное программное обеспечение или встроенные брандмауэры вряд ли их поймают. Однако вы можете принять конкретные меры, например использовать EDR и другие решения для обеспечения безопасности конечных точек, чтобы увеличить свои шансы на обнаружение необычных и подозрительных действий, особенно если эти решения имеют поведенческий компонент.
Архитектура с нулевым доверием также может помочь сдержать заражение, поскольку здесь, например, у хакеров была стратегия распространения своего вредоносного ПО и итерации цикла заражения.
Поставщики систем безопасности и базы знаний, такие как MITRE ATT&CK, скорее всего, добавят этот новый подход в свои каталоги в ближайшие месяцы. В любом случае было бы неплохо помочь командам безопасности сопоставить технику для целей разведки угроз.
