Οι hackers χρησιμοποιούν ψεύτικα αρχεία καταγραφής σφαλμάτων για να αποθηκεύσουν χαρακτήρες ASCII που μεταμφιέζονται ως δεκαεξαδικές τιμές που αποκωδικοποιούν ένα κακόβουλο payload που έχει σχεδιαστεί για να προετοιμάσει το έδαφος για επιθέσεις βασιζόμενες σε scripts.
Το κόλπο είναι μέρος μιας μακρύτερης αλυσίδας με ενδιάμεσες εντολές PowerShell που τελικά παρέχει ένα script για αναγνώριση.
Η εταιρεία Huntress Labs αποκάλυψε ένα σενάριο επίθεσης όπου ο απειλητικός παράγοντας επέμεινε σε ένα μηχάνημα-στόχο και προσπάθησε να “τρέξει” ένα ασυνήθιστο κόλπο για να συνεχίσει με την ρουτίνα της επίθεσης του.
Οι hackers απέκτησαν πρόσβαση στο σύστημα που ήταν στόχος και πέτυχαν την καθιέρωση του. Από αυτή την θέση χρησιμοποιήσαν ένα αρχείο που ονομαζόταν “a.chk” που μιμείται ένα αρχείο καταγραφής error των Windows για μια εφαρμογή. Η τελευταία στήλη δείχνει ότι πρόκειται για δεκαεξαδικές τιμές.
Ωστόσο, αυτές οι δεκαδικές αναπαραστάσεις είναι των ASCII χαρακτήρων. Μόλις αποκωδικοποιηθούν, φτιάχνουν ένα script που επικοινωνεί με έναν server ελέγχου για τα επόμενα βήματα της επίθεσης.
Κοιτάζοντας το mock log file καταλαβαίνουμε ότι δεν πρόκειται να σημειωθούν κακόβουλες ενέργειες αφού τα data περιλαμβάνουν χρονικές σημάνσεις και αναφορές για έναν εσωτερικό αριθμό Windows, λέει ο John Ferrell του Huntress Labs σήμερα.
Με μια πιο προσεκτική ματιά αποκαλύπτεται το κόλπο που χρησιμοποιήθηκε από τους hackers για να αποσπαστούν τα data και να δημιουργηθεί ένα κωδικοποιημένο payload. Παρακάτω μπορείτε να δείτε τους αριθμούς που μετατράπηκαν σε κείμενο για να ενημερώσουν το script.
Ο Ferrell εξηγεί ότι το payload λαμβάνεται χρησιμοποιώντας ένα προγραμματισμένο task που πλαστοπροσωπεί ένα νόμιμο (μόνο ένα γράμμα κάνει τη διαφορά) και μοιράζεται την περιγραφή του. Περιλαμβάνονται δύο εκτελέσιμα αρχεία τα οποία μετονομάζονται σε αντίγραφα γνήσιων αρχείων για να φαίνονται αβλαβή.
Χρησιμοποίηση γνήσιων αρχείων
Το ένα ονομάζεται “BfeOnService.exe” και είναι αντίγραφο του “mshta.exe,” μια λειτουργία που χρησιμεύει για να κάνει execute Microsoft HTML Applications (HTA) που έχει καταχραστεί για την ανάπτυξη κακόβουλων αρχείων HTA.
Το άλλο ονομάζεται “engine.exe” και είναι ένα αντίγραφο του “powershell.exe”. ο σκοπός του είναι να κάνει extract τους ASCII αριθμούς στο ψεύτικο log και να τους μετατρέψει για να λαμβάνουν κακόβουλο φορτίο. Δείτε εδώ πως δουλεύει:
Ο Ferrell σημειώνει ότι το script που αποκωδικοποιείται με αυτόν τον τρόπο εφαρμόζει μια ενημερωμένη έκδοση κώδικα στη μνήμη Antimalware Scan Interface (AMSI) για να την παρακάμψει. Το AMSI βοηθά τα antivirus να εντοπίζουν επιθέσεις που βασίζονται σε scripts.
Εκτελείται μια δεύτερη εντολή που λειτουργεί ως πρόγραμμα λήψης για την ανάκτηση μιας ακόμη εντολής PowerShell με την ίδια λειτουργία. Στο τέλος της αλυσίδας υπάρχει ένα payload που συγκεντρώνει πληροφορίες σχετικά με το παραβιασμένο σύστημα.
Δεν είναι σαφές τι κυνηγάει ο επιτιθέμενος, αλλά το τελευταίο script συλλέγει λεπτομέρειες σχετικά με εγκατεστημένα προγράμματα περιήγησης και συγκεκριμένα προϊόντα φορολογικής προετοιμασίας και ασφάλειας (Lacerte, ProSeries, Kaspersky, Comodo, Defender) και λογισμικό point-of-sale.
Ενώ αυτό απέχει πολύ από το να είναι μια περίπλοκη επίθεση, δείχνει ότι οι εγκληματίες του κυβερνοχώρου θα εξερευνήσουν όλες τις οδούς για να κερδίσουν ένα βήμα σε ένα δίκτυο στοχευμένο και να αναπτύξουν την επίθεσή τους με δημιουργικούς τρόπους που είναι πιθανό να ανταμειφθούν σε ορισμένες περιπτώσεις.
