Οι εγκληματίες του κυβερνοχώρου αναζητούν συνεχώς τρόπους για να παρακάμψουν τον εντοπισμό τους. Μια από τις σημαντικές απειλές που παρακολουθούν στενά οι ειδικοί της κυβερνοασφάλειας είναι το Emmenhtal Loader.
Το Emmenhtal αξιοποιεί τεχνικές LOLBAS (Living Off the Land Binaries and Scripts) για να διανείμει διακριτικά κακόβουλο λογισμικό, καθιστώντας τη διαδικασία του εντοπισμού του εξαιρετικά δύσκολη.
Αναλυτές από το ANY.RUN έχουν εντοπίσει πολλά κακόβουλα στελέχη που διανέμονται μέσω της Emmenhtal, συμπεριλαμβανομένων των Arechclient2, Lumma, Hijackloader και Amadey — το καθένα μεταμφιεσμένο με ευφυΐα μέσω κακόβουλων scripts.
Διαβάστε σχετικά: GitHub: Σχόλια καταχρώνται και προωθούν το Lumma Stealer
Perseverance: Μελετά τους αρχαιότερους βράχους στον Άρη
Μυστήρια drones στο New Jersey: Τι λέει το Πεντάγωνο;
Οι κομήτες έπαιξαν «μείζονα» ρόλο για τη ζωή στη Γη
Ας εξετάσουμε αυτήν την εκστρατεία πιο προσεκτικά, αποσυσκευάζοντας την αλυσίδα εκτέλεσης της Emmenhtal και αναζητώντας ασφαλείς τρόπους για να εντοπίσουμε τις δραστηριότητές της πριν προκαλέσουν βλάβη.
Τι είναι το Emmenhtal Loader;
Το Emmenhtal είναι ένας loader κακόβουλου λογισμικού που εμφανίστηκε στις αρχές του 2024 και είναι γνωστός για τις εξελιγμένες μεθόδους του στην ανάπτυξη διαφόρων κακόβουλων ωφέλιμων φορτίων, συμπεριλαμβανομένων των κλοπών πληροφοριών όπως το Lumma και το CryptBot.
Αξιοποιεί τεχνικές LOLBAS, χρησιμοποιώντας νόμιμα εργαλεία των Windows προκειμένου να αποφύγει τον εντοπισμό. Συχνά κρύβεται εντός τροποποιημένων νόμιμων δυαδικών αρχείων των Windows, ενσωματώνοντας κακόβουλα scripts που εκτελούνται σε πολλαπλά στάδια για να ληφθεί και να εκτελεστεί επιπλέον κακόβουλο λογισμικό.
Η αλυσίδα μόλυνσης του περιλαμβάνει συχνά τη χρήση αρχείων HTA (Εφαρμογή HTML) και PowerShell scripts, γεγονός που καθιστά δύσκολο τον εντοπισμό τους από τα παραδοσιακά μέτρα ασφαλείας.
Μπορείτε να ανακαλύψετε ποια scripts χρησιμοποιεί ο Emmenhtal Loader και τις λειτουργίες τους με τη βοήθεια εργαλείων όπως το Script Tracer του ANY.RUN.
Αλυσίδα εκτέλεσης Emmenhtal Loader
Για να κατανοήσουμε πώς λειτουργεί ο Emmenhtal Loader, μπορούμε να εξερευνήσουμε ένα πραγματικό δείγμα κακόβουλου λογισμικού σε ένα ασφαλές περιβάλλον όπως το διαδραστικό sandbox του ANY.RUN.
Δείτε ακόμη: Πλαστά σφάλματα Chrome οδηγούν στην εγκατάσταση malware
Σε αυτήν την περίπτωση, θα δούμε πιο προσεκτικά το δείγμα του Emmenhtal και πώς εκτελείται.
- Έναρξη αρχείου LNK:
Η επίθεση ξεκινά με ένα κακόβουλο αρχείο LNK που εκκινεί την εντολή forfiles. Αυτό το αρχείο έχει σχεδιαστεί για να φαίνεται ακίνδυνο, καθιστώντας το πιο πιθανό να εκτελεστεί από έναν χρήστη.
Μπορούμε να παρατηρήσουμε τη διαδικασία forfiles.exe στο διαδραστικό sandbox εξετάζοντας την ενότητα δέντρου διεργασιών στη δεξιά πλευρά της οθόνης.
- Το Forfiles εντοπίζει το HelpPane για την εκτέλεση του PowerShell:
Η εντολή forfiles χρησιμοποιείται για τον εντοπισμό του εκτελέσιμου αρχείου HelpPane. Αυτό το νόμιμο εργαλείο των Windows χρησιμοποιείται στη συνέχεια για την εκκίνηση του PowerShell, το οποίο ξεκινά το επόμενο βήμα στην αλυσίδα μόλυνσης.
- Το PowerShell καλεί το Mshta:
Στη συνέχεια, το PowerShell εκτελεί μια εντολή που καλεί το Mshta. Ο τελευταίος έχει εντολή να κατεβάσει ένα ωφέλιμο φορτίο από έναν απομακρυσμένο διακομιστή. Αυτό το ωφέλιμο φορτίο κρυπτογραφείται χρησιμοποιώντας τον αλγόριθμο κρυπτογράφησης AES για να είναι πιο δύσκολο να εντοπιστεί και να αναλυθεί.
Διαβάστε ακόμη: FakeBat Loader malware: Διαδίδεται μέσω επιθέσεων Drive-by
- Το Mshta αποκρυπτογραφεί και εκτελεί ωφέλιμο φορτίο:
Το Mshta αποκρυπτογραφεί και εκτελεί το ληφθέν ωφέλιμο φορτίο. Αυτό το ωφέλιμο φορτίο περιέχει τις απαραίτητες οδηγίες για να προχωρήσετε στη διαδικασία μόλυνσης.
- Το PowerShell εκτελεί εντολή κρυπτογραφημένη με AES:
Το PowerShell εκτελεί μια εντολή κρυπτογραφημένη με AES για την αποκρυπτογράφηση του φορτωτή Emmenhtal. Αυτή η εντολή είναι ασαφής για να αποφευχθεί ο εντοπισμός από τα παραδοσιακά μέτρα ασφαλείας.
- Το Emmenhtal Loader εκκινεί το ωφέλιμο φορτίο:
Το τελικό PowerShell script είναι το Emmenhtal Loader, ο οποίος εκκινεί ένα ωφέλιμο φορτίο (συχνά Updater.exe) με ένα δυαδικό αρχείο με ένα όνομα που δημιουργήθηκε ως όρισμα. Αυτό το βήμα πραγματοποιεί τη μετάβαση από το πρόγραμμα φόρτωσης στο πραγματικό κακόβουλο λογισμικό.
Δείτε επίσης: Hackers καταχρώνται νόμιμα packer software για διανομή malware
- Το κακόβουλο λογισμικό μολύνει το σύστημα:
Το κακόβουλο λογισμικό μολύνει με επιτυχία το σύστημα, ολοκληρώνοντας την αλυσίδα εκτέλεσης. Σε αυτό το σημείο, το κακόβουλο λογισμικό μπορεί να πραγματοποιήσει τις επιδιωκόμενες κακόβουλες δραστηριότητές του, όπως η διείσδυση δεδομένων, η κλοπή διαπιστευτηρίων ή η εξασφάλιση επιμονής.
Στην έρευνα που πραγματοποιήθηκε από το ANY.RUN, το Emmenhtal Loader χρησιμοποίησε scripts για την παράδοση κακόβουλου λογισμικού, όπως τα Arechclient2, Lumma, Hijackloader και Amadey.
Πηγή: hackread