Το Rhadamanthys έχει αναδειχθεί ως ένα από τα πιο επικίνδυνα προγράμματα κακόβουλου λογισμικού κλοπής από την πρώτη του εμφάνιση το 2022.
Αυτή η προηγμένη απειλή συνεχίζει να προκαλεί τις ομάδες ασφαλείας με την ικανότητά της να κλέβει ευαίσθητα δεδομένα από μολυσμένα συστήματα, αποφεύγοντας τον εντοπισμό από παραδοσιακά εργαλεία ασφαλείας.
Το κακόβουλο λογισμικό έχει γίνει ιδιαίτερα διαβόητο για τη χρήση του σε στοχευμένες επιθέσεις εναντίον επιχειρήσεων και ιδιωτών παγκοσμίως, με τους παράγοντες απειλών να το χρησιμοποιούν για να συλλέγουν διαπιστευτήρια, οικονομικές πληροφορίες και άλλα πολύτιμα δεδομένα από παραβιασμένα μηχανήματα.
Το στοιχείο loader του Rhadamanthys ξεχωρίζει ως τεχνικό επίτευγμα στην ανάπτυξη κακόβουλου λογισμικού. Σε αντίθεση με το ίδιο το ωφέλιμο φορτίο του κλέφτη, ο φορτωτής χρησιμεύει ως ο αρχικός μηχανισμός παράδοσης που προετοιμάζει το σύστημα για μόλυνση.
Αυτό που κάνει αυτόν τον φορτωτή ιδιαίτερα προκλητικό για τους ερευνητές ασφάλειας είναι η εφαρμογή πολλαπλών επιπέδων προστασίας που έχουν σχεδιαστεί για να αποτρέπουν την ανάλυση και τον εντοπισμό.
Αυτές οι προστασίες περιλαμβάνουν προσαρμοσμένες τεχνικές συσκότισης που ανακατεύουν τη δομή του κώδικα, καθιστώντας εξαιρετικά δύσκολο τόσο για τα αυτοματοποιημένα εργαλεία όσο και για τους ανθρώπινους αναλυτές να κατανοήσουν τι κάνει το κακόβουλο λογισμικό.
Ερευνητές ασφάλειας Cyber.wtf πρόσφατα αναγνωρισθείς αρκετές βασικές τεχνικές που χρησιμοποιούνται από τον φορτωτή Rhadamanthys για την αποφυγή ανίχνευσης και ανάλυσης.
Το κακόβουλο λογισμικό εφαρμόζει ένα μοναδικό σύστημα anti-sandboxing που παρακολουθεί τη συμπεριφορά των χρηστών πριν εκτελέσει το ωφέλιμο φορτίο του.
Επιπλέον, ο φορτωτής χρησιμοποιεί έλεγχο ροής ισοπέδωσης και άλματος στόχου συσκότισης, δύο προηγμένες τεχνικές που διακόπτουν την κανονική ροή της εκτέλεσης κώδικα.
Αυτές οι μέθοδοι ουσιαστικά μετατρέπουν το πρόγραμμα σε ένα παζλ όπου κάθε κομμάτι φαίνεται αποσυνδεδεμένο από άλλα, εμποδίζοντας τα εργαλεία ασφαλείας να χαρτογραφήσουν τον τρόπο λειτουργίας του κακόβουλου λογισμικού.
.webp.jpeg)
Το ωφέλιμο φορτίο που μεταφέρεται από τον φορτωτή κωδικοποιείται χρησιμοποιώντας έναν προσαρμοσμένο αλγόριθμο που οι συντάκτες κακόβουλου λογισμικού αποκαλούν Flutter. Αυτό το σχήμα κωδικοποίησης μετατρέπει δυαδικά δεδομένα σε κείμενο που μοιάζει με τυχαίους χαρακτήρες, βοηθώντας το κακόβουλο λογισμικό να κρύψει τον πραγματικό του σκοπό από τους σαρωτές ασφαλείας.
Το κωδικοποιημένο ωφέλιμο φορτίο προστατεύεται περαιτέρω από την κρυπτογράφηση SM4, έναν κινεζικό μπλοκ κρυπτογράφησης που προσθέτει ένα άλλο επίπεδο ασφάλειας. Μαζί, αυτές οι προστασίες δημιουργούν ένα τρομερό φράγμα που επέτρεψε στο Rhadamanthys να παραμείνει αποτελεσματικό παρά τις συνεχείς προσπάθειες των ερευνητών ασφαλείας για την καταπολέμησή του.
Ανίχνευση Αποφυγής μέσω Ανάλυσης Συμπεριφοράς Χρηστών
Ο φορτωτής Rhadamanthys εφαρμόζει ένα σύστημα ανάλυσης βάσει χρόνου που παρακολουθεί τη δραστηριότητα του χρήστη για τουλάχιστον 45 δευτερόλεπτα πριν από την εκτέλεση του ωφέλιμου φορτίου του κλέφτη.
Αυτός ο μηχανισμός anti-sandboxing χρησιμοποιεί μια επιστροφή κλήσης με χρονοδιακόπτη που συλλέγει θέσεις δρομέα, πληροφορίες παραθύρου στο προσκήνιο και χρονικές σημάνσεις κάθε 30 χιλιοστά του δευτερολέπτου για 1.500 επαναλήψεις.
Στη συνέχεια, το κακόβουλο λογισμικό αναλύει αυτά τα δεδομένα που συλλέγονται για να προσδιορίσει εάν εκτελείται σε πραγματικό περιβάλλον χρήστη ή σε ένα αυτοματοποιημένο σύστημα ανάλυσης.
Ο φορτωτής εκτελεί συγκεκριμένους ελέγχους στα συγκεντρωμένα δεδομένα για να επικυρώσει το περιβάλλον. Αρχικά, επαληθεύει εάν η θέση του δρομέα έχει αλλάξει τουλάχιστον 30 φορές κατά τη διάρκεια της περιόδου παρακολούθησης.
Δεύτερον, ελέγχει την παρουσία τουλάχιστον δύο διαφορετικών παραθύρων στο προσκήνιο, με τουλάχιστον ένα παράθυρο που δεν ανήκει στη διαδικασία της επιφάνειας εργασίας.
Εάν δεν πληρούνται αυτές οι προϋποθέσεις, το κακόβουλο λογισμικό εισέρχεται σε έναν άλλο κύκλο παρακολούθησης 45 δευτερολέπτων με προχωρημένους ελέγχους που υπολογίζουν τις Ευκλείδειες αποστάσεις μεταξύ των θέσεων του δρομέα για τον εντοπισμό μοτίβων κίνησης που δεν είναι ανθρώπινες.
Αυτό το σύστημα ανίχνευσης που βασίζεται στη συμπεριφορά παρακάμπτει αποτελεσματικά πολλά αυτοματοποιημένα περιβάλλοντα ανάλυσης που δεν προσομοιώνουν ρεαλιστική αλληλεπίδραση με τον χρήστη.
Ωστόσο, τα προηγμένα sandbox όπως το CAPE και το VMRay έχουν προσαρμοστεί σε αυτές τις τεχνικές και μπορούν να ενεργοποιήσουν με επιτυχία την εκτέλεση ωφέλιμου φορτίου.
Ο φορτωτής δημιουργεί ένα αόρατο παράθυρο και χρησιμοποιεί αρχιτεκτονική που βασίζεται σε μηνύματα για την ουρά και την εκτέλεση συναρτήσεων μέσω επανακλήσεων του χρονοδιακόπτη, καθιστώντας δύσκολη την ανίχνευση της ροής της εκτέλεσης χωρίς την κατάλληλη αποσυμφόρηση της υποκείμενης δομής κώδικα.
Related Posts
Χάκερ φέρεται να ισχυρίζονται ότι έχει διαρρεύσει πηγαίου κώδικα της LG, SMTP και ενσωματωμένων διαπιστευτηρίων
Χάκερ που χρησιμοποιούν Leverage Tuoni C2 Framework Tool για να παραδίδουν μυστικά ωφέλιμα φορτία στη μνήμη
Χάκερ που εκμεταλλεύονται την ευπάθεια του XWiki στη φύση για να προσλάβουν τους διακομιστές για το Botnet
