Security Week 2221: вредоносный код в логах Windows

Моя цель - предложение широкого ассортимента товаров и услуг на постоянно высоком качестве обслуживания по самым выгодным ценам.

Исследователи «Лаборатории Касперского» обнаружили свежую вредоносную атаку, использующую нетривиальный способ скрыть ключевой вредоносный код, записывая его в логи Windows. Подробный разбор атаки опубликован здесь, а еще подробнее она описана автором исследования в этом видео. Таргетированная атака была обнаружена в феврале 2022 года. Помимо попыток спрятать вредоносный код в логах, организаторы атаки использовали множество систем обфускации, которые подробно описаны в отчете.

Самая ранняя атака с использованием этого достаточно уникального вредоносного кода была зафиксирована в сентябре 2021 года. Организаторы, помимо собственных инструментов, также использовали программы с открытым исходным кодом и коммерческое ПО, такое как CobaltStrike. В отчете приводится конкретный сценарий первоначальной атаки: сотрудника компании уговаривают скачать архив в формате .rar с публичного хостинга файлов и запустить содержимое.

Атакующие применяют массу способов обфускации кода, а также предпринимают попытки скрыть вредоносную деятельность. Для этого реализована многоуровневая система атаки, а, например, модуль из CobaltStrike зашифрован несколько раз. Позднее, уже на стадии коммуникации с командным сервером, используются доменные имена, сходные с легитимными доменами производителей программного обеспечения. Причем именно того, которое используется организацией. Часть исполняемых файлов имеет легитимную цифровую подпись.

«Восстановление кода» из логов используется на поздней стадии атаки. Программа-дроппер ищет в логах Windows записи, имеющие категорию 0x4142. Если программа их не находит, то выполняется запись в журнал системы от имени легитимной службы Key Management Service. Вредоносный код записывается кусками по 8 килобайт. В случае если код уже записан, дроппер запускает обратную операцию: собирает ПО из отдельных кусков и выполняет его. После окончательного взлома системы производится анализ ее параметров, информация отправляется на командный сервер.

Исследователи обнаружили два варианта троянской программы. Первый использует для коммуникации обычный протокол HTTP, второй — именованные каналы, то есть работает на основе протокола SMB. При этом функциональность второго трояна гораздо шире, хотя его возможность связываться с командным сервером за пределами корпоративной сети жертвы может быть ограничена. Предположительно вторая версия трояна может быть использована при дальнейшем распространении по атакованной сети.

Скрытие вредоносного кода в логах — это достаточно новый прием создателей вредоносного кода, который ранее не обнаруживался. Уникальность атаки в целом пока не позволяет связать ее с другими известными попытками взлома. При этом у организаторов достаточно широкие возможности проникновения в корпоративные системы. Еще одной особенностью данной атаки стало использование коммерческого ПО, в нормальных условиях предназначенного для легитимного тестирования защищенности компьютерных систем. Так как у авторов отчета нет доступа ко всем модулям данного коммерческого ПО (а у организаторов вредоносной компании он есть), некоторые элементы атаки, считающиеся уникальными, могут на самом деле быть частью продукта для тестирования на проникновение.

Источник: https://habr.com/ru/company/kaspersky/blog/667354/


Интересные статьи

Интересные статьи

Согласно данным Growth Badger, в интернете насчитывается более 600 миллионов блогов, которые ежегодно публикуют более 2,5 млрд гостевых постов. Как IT-компаниям бесплатно...
Да, %username%, именно четверть века назад мир увидела новая операционная система от Microsoft с кодовым именем Chicago. Это была многозадачная ОС, которая стала прорывом по сравнен...
wkhtmltopdf — это один из самых мощных инструментов для генерации PDF. Он позволяет использовать в генерируемом документе все возможности HTML и CSS. «Под капотом» у него движок WebKi...
В прошлом году у нас уже был дайджест про нетривиальные атаки. Тогда речь шла про DoS-атаку на ПК через акустическое воздействие на жесткий диск и кражу пользовательских данных через хак со стиля...
Бизнес-смыслы появились в Битриксе в начале 2016 года, но мало кто понимает, как их правильно использовать для удобной настройки интернет-магазинов.