Οι απειλές για την ασφάλεια στον κυβερνοχώρο συνεχίζουν να εξελίσσονται με εξελιγμένες μεθόδους φοροδιαφυγής. Ένα νέο πρόγραμμα φόρτωσης κακόβουλου λογισμικού που βασίζεται σε .NET έχει εμφανιστεί που δείχνει μια προηγμένη προσέγγιση για την απόκρυψη του περιβόητου trojan Lokibot μέσα σε αρχεία εικόνας.
Αυτό το σύστημα παράδοσης ωφέλιμου φορτίου πολλαπλών σταδίων χρησιμοποιεί steganography, μια τεχνική που ενσωματώνει κρυφά δεδομένα σε αρχεία με νόμιμη εμφάνιση, καθιστώντας τον εντοπισμό πολύ πιο δύσκολο για τα εργαλεία ασφαλείας και τους αναλυτές.
Το κακόβουλο λογισμικό λειτουργεί ως φορτωτής steganography ικανός να εξάγει και να εκτελεί το Lokibot μέσα από αρχεία εικόνας PNG και BMP.
Οι ερευνητές ασφαλείας έχουν αναγνωρίσει αυτή την απειλή ως μέρος μιας επεκτεινόμενης εκστρατείας επίθεσης που στοχεύει οργανισμούς παγκοσμίως.
Ο εισβολέας αξιοποιεί κοντέινερ αρχείων εικόνας, επειδή το λογισμικό προστασίας από ιούς και οι πύλες ηλεκτρονικού ταχυδρομείου συχνά στη λίστα επιτρεπόμενων αρχείων εικόνας ως ασφαλή, υποθέτοντας ότι δεν ενέχουν κανένα κίνδυνο.
Αυτή η υπόθεση έχει γίνει μια κρίσιμη ευπάθεια στη σύγχρονη υποδομή ασφάλειας. Ο μηχανισμός παράδοσης περιλαμβάνει συνήθως μηνύματα ηλεκτρονικού ψαρέματος ή παραβιασμένους ιστότοπους που φιλοξενούν τον αρχικό φορτωτή.
.webp.jpeg)
Μόλις εκτελεστεί, το κακόβουλο λογισμικό ανακτά αρχεία εικόνας που περιέχουν κρυφά ωφέλιμα φορτία Lokibot από απομακρυσμένους διακομιστές. Η διαδικασία στεγανογραφικής ενσωμάτωσης χειρίζεται δεδομένα pixel μέσα στα αρχεία εικόνας, χρησιμοποιώντας συγκεκριμένα κανάλια χρώματος RGB για την αποθήκευση κωδικοποιημένου εκτελέσιμου κώδικα.
Αυτή η τεχνική καθιστά τις εικόνες λειτουργικά άθικτες ενώ μεταφέρουν αθόρυβα κακόβουλο περιεχόμενο. Splunk ερευνητές ασφάλειας διάσημος ότι το κακόβουλο λογισμικό αντιπροσωπεύει μια σημαντική αλλαγή στη στρατηγική φοροδιαφυγής.
Οι παραδοσιακές μέθοδοι ανίχνευσης βασίζονται στον εντοπισμό ύποπτων υπογραφών αρχείων ή μοτίβων συμπεριφοράς, αλλά η στεγανογραφία που βασίζεται σε εικόνες παρακάμπτει αυτές τις άμυνες κρύβοντας εκτελέσιμα μέσα σε αρχεία που φαίνονται αβλαβή.
Οι ερευνητές ανακάλυψαν ότι ο φορτωτής χρησιμοποιεί μια προσαρμοσμένη ρουτίνα αποκρυπτογράφησης για να εξαγάγει το πραγματικό ωφέλιμο φορτίο Lokibot μετά την ανάκτηση, προσθέτοντας ένα άλλο επίπεδο συσκότισης που καθυστερεί την ανάλυση και τον εντοπισμό.
Μόλις αναπτυχθεί, το Lokibot λειτουργεί ως κλέφτης πληροφοριών που έχει σχεδιαστεί για τη συλλογή ευαίσθητων διαπιστευτηρίων και δεδομένων από μολυσμένα συστήματα.
Το κακόβουλο λογισμικό στοχεύει ιστορικά προγράμματος περιήγησης, αποθηκευμένους κωδικούς πρόσβασης και διακριτικά ελέγχου ταυτότητας για συγκεκριμένες εφαρμογές, καθιστώντας το ιδιαίτερα επικίνδυνο για εταιρικά περιβάλλοντα όπου οι εργαζόμενοι έχουν πρόσβαση σε πολλές υπηρεσίες cloud.
Ο Στεγανογραφικός Μηχανισμός Ενσωμάτωσης
Η κατανόηση του τρόπου με τον οποίο το κακόβουλο λογισμικό κρύβει τον κώδικα μέσα σε αρχεία εικόνας αποκαλύπτει την τεχνική πολυπλοκότητα αυτής της επίθεσης. Το πρόγραμμα φόρτωσης .NET περιέχει ενσωματωμένα αρχεία PNG και BMP στην ενότητα πόρων του.
Αυτά τα αρχεία εικόνας έχουν δημιουργηθεί ειδικά για να περιέχουν το ωφέλιμο φορτίο Lokibot κωδικοποιημένο σε πολλαπλές τιμές pixel.
.webp.jpeg)
Η διαδικασία κωδικοποίησης εκμεταλλεύεται τη μορφή χρώματος ARGB, όπου κάθε pixel περιέχει δεδομένα καναλιών άλφα, κόκκινο, πράσινο και μπλε.
Οι εισβολείς χειρίζονται αυτές τις τιμές καναλιού για να μεταφέρουν κωδικοποιημένα byte του πραγματικού κακόβουλου εκτελέσιμου αρχείου. Η διαδικασία εξάγει μεμονωμένες τιμές εικονοστοιχείων, τις μετατρέπει σε δεκαεξαδικές ακολουθίες και επανασυναρμολογεί αυτά τα byte σε μια πλήρη μονάδα PE.
Το αρχείο που προκύπτει είναι συνήθως ένα DLL, όπως το “captive.dll”, το οποίο χρησιμεύει ως ενδιάμεσο στάδιο που αποκρυπτογραφεί και εκτελεί τον τελικό trojan Lokibot.
Αυτή η ένθετη προσέγγιση σημαίνει ότι τα εργαλεία ασφαλείας πρέπει να παρακάμψουν με επιτυχία πολλαπλά επίπεδα κρυπτογράφησης και κωδικοποίησης για να φτάσουν στην πραγματική απειλή.
Η κομψότητα αυτής της τεχνικής έγκειται στην ικανότητά της να διανέμει κακόβουλο λογισμικό χρησιμοποιώντας αρχεία που αποτυγχάνουν στην ανάλυση περιεχομένου, περνούν ελέγχους επικύρωσης τύπου αρχείου και παρακάμπτουν φίλτρα πύλης που έχουν σχεδιαστεί για παραδοσιακές μεθόδους ανίχνευσης ωφέλιμου φορτίου.
