Οι ερευνητές ασφαλείας εντόπισαν μια κακόβουλη καμπάνια που χρησιμοποιούσε Windows event logs για την αποθήκευση malware, μια τεχνική που δεν έχει εντοπιστεί στο παρελθόν.
Η μέθοδος επέτρεψε στον απειλητικό παράγοντα πίσω από την επίθεση να εγκαταστήσει fileless malware στο σύστημα αρχείων σε μια επίθεση γεμάτη με τεχνικές και λειτουργικά modules που έχουν σχεδιαστεί για να διατηρούν τη δραστηριότητα όσο το δυνατόν πιο κρυφή.
Δείτε επίσης: Η Κόστα Ρίκα σε κατάσταση έκτακτης ανάγκης μετά από επιθέσεις ransomware
Προσθήκη payloads στα Windows event logs
Οι ερευνητές της Kaspersky συνέλεξαν ένα δείγμα του malware αφού ήταν ένα προϊόν της εταιρείας εξοπλισμένο με τεχνολογία για ανίχνευση βάσει συμπεριφοράς και έλεγχο ανωμαλιών που το προσδιόρισαν ως απειλή στον υπολογιστή ενός πελάτη.
Η έρευνα αποκάλυψε ότι το malware αποτελούσε μέρος μιας «πολύ στοχευμένης» καμπάνιας και βασιζόταν σε ένα μεγάλο σύνολο εργαλείων, τόσο προσαρμοσμένων όσο και εμπορικά διαθέσιμων.
Ένα από τα πιο ενδιαφέροντα μέρη της επίθεσης είναι η εισαγωγή shellcode payloads στα Windows event logs για τα Key Management Services (KMS), μια ενέργεια που ολοκληρώνεται από ένα προσαρμοσμένο malware dropper.
Δείτε επίσης: Sophos report: Ανησυχητικά τα ευρήματα για τις ransomware επιθέσεις
Ο Denis Legezo, επικεφαλής ερευνητής ασφάλειας στην Kaspersky, λέει ότι αυτή η μέθοδος είναι η πρώτη φορά που χρησιμοποιείται κατά τη διάρκεια μιας κακόβουλης εκστρατείας.
Το dropper αντιγράφει το νόμιμο αρχείο διαχείρισης σφαλμάτων λειτουργικού συστήματος WerFault.exe στο ‘C:\Windows\Tasks’ και, στη συνέχεια, “ρίχνει” ένα κρυπτογραφημένο binary resource στο ‘wer.dll’ (Windows Error Reporting) στην ίδια τοποθεσία, για παραβίαση εντολής αναζήτησης DLL για φόρτωση κακόβουλου κώδικα.
Το DLL hijacking είναι μια τεχνική εισβολής που εκμεταλλεύεται νόμιμα προγράμματα με ανεπαρκείς ελέγχους για να φορτώσει στη μνήμη μια κακόβουλη Dynamic Link Library (DLL) από μια αυθαίρετη διαδρομή.
Ο Legezo λέει ότι ο σκοπός του dropper είναι να φορτωθεί στο δίσκο για τη διαδικασία side-loading και να αναζητήσει συγκεκριμένες εγγραφές στα event logs. Φυσικά ο τελικός στόχος του dropper είναι να δημιουργήσει κώδικα που θα χρησιμοποιήθει στο επόμενο στάδιο.
Η νέα τεχνική που αναλύθηκε από την Kaspersky είναι πιθανό να γίνει πιο δημοφιλής καθώς ο Soumyadeep Basu, επί του παρόντος ασκούμενος για την red team του Mandiant, έχει δημιουργήσει και δημοσιεύσει στο GitHub τον πηγαίο κώδικα για την εισαγωγή payloads στα Windows event logs.
Τεχνικά προηγμένος χάκερ
Με βάση τις διάφορες τεχνικές και modules που χρησιμοποιούνται στην καμπάνια, ο Legezo σημειώνει ότι ολόκληρη η καμπάνια «φαίνεται εντυπωσιακή».
Είπε στο BleepingComputer ότι «ο χάκερ πίσω από την καμπάνια είναι μάλλον ικανός από μόνος του, ή τουλάχιστον έχει ένα καλό σύνολο από πολύ βαθιά εμπορικά εργαλεία», υποδεικνύοντας ένα adversary σε επίπεδο APT.
Μεταξύ των εργαλείων που χρησιμοποιούνται στην επίθεση είναι τα εμπορικά penetration testing frameworks Cobalt Strike και NetSPI (το πρώην SilentBreak).
Ενώ ορισμένα modules στην επίθεση πιστεύεται ότι είναι προσαρμοσμένα, ο ερευνητής σημειώνει ότι μπορεί να αποτελούν μέρος της πλατφόρμας NetSPI, για την οποία δεν ήταν διαθέσιμη μια εμπορική άδεια για δοκιμή.
Για παράδειγμα, δύο trojans που ονομάζονται ThrowbackDLL.dll και SlingshotDLL.dll μπορεί να είναι εργαλεία με το ίδιο όνομα που είναι γνωστό ότι αποτελούν μέρος του penetration testing framework SilentBreak.
Η έρευνα εντόπισε το αρχικό στάδιο της επίθεσης τον Σεπτέμβριο του 2021, όταν το θύμα εξαπατήθηκε για να κατεβάσει ένα αρχείο RAR από την υπηρεσία κοινής χρήσης αρχείων file.io.
Στη συνέχεια, ο χάκερ διέδωσε τη μονάδα Cobalt Strike, η οποία υπογράφηκε με πιστοποιητικό από μια εταιρεία που ονομάζεται Fast Invest ApS. Το πιστοποιητικό χρησιμοποιήθηκε για την υπογραφή 15 αρχείων και κανένα από αυτά δεν ήταν νόμιμο.
Στην πλειονότητα των περιπτώσεων, ο απώτερος σκοπός του στοχευμένου malware με τέτοια λειτουργικότητα τελευταίου σταδίου είναι η λήψη ορισμένων πολύτιμων δεδομένων από τα θύματα, είπε ο ερευνητής στο BleepingComputer.
Κατά τη μελέτη της επίθεσης, η Kaspersky δεν βρήκε καμία ομοιότητα με προηγούμενες εκστρατείες που σχετίζονται με κάποιον γνωστό απειλητικό παράγοντα.
Δείτε επίσης: Κρίσιμο σφάλμα ανακαλύφθηκε στο F5 BIG-IP, επιδιορθώστε άμεσα
Μέχρι να γίνει μια σύνδεση με έναν γνωστό αντίπαλο, οι ερευνητές παρακολουθούν τη νέα δραστηριότητα ως SilentBreak, σύμφωνα με το όνομα του εργαλείου που χρησιμοποιείται περισσότερο στην επίθεση.
Πηγή πληροφοριών: bleepingcomputer.com
