Το κακόβουλο λογισμικό Gootloader, που χρησιμοποιείται συνήθως για την αρχική πρόσβαση, χρησιμοποιεί τώρα ένα λανθασμένο αρχείο ZIP σχεδιασμένο να αποφεύγει τον εντοπισμό συνενώνοντας έως και 1.000 αρχεία.
Με αυτόν τον τρόπο, το κακόβουλο λογισμικό, το οποίο είναι ένα αρχειοθετημένο αρχείο JScript, προκαλεί τη διακοπή λειτουργίας πολλών εργαλείων όταν προσπαθείτε να το αναλύσετε.
Σύμφωνα με ερευνητές, το κακόβουλο αρχείο αποσυμπιέζεται με επιτυχία χρησιμοποιώντας το προεπιλεγμένο βοηθητικό πρόγραμμα στα Windows, αλλά τα εργαλεία που βασίζονται στο 7-Zip και το WinRAR αποτυγχάνουν.
Για να επιτευχθεί αυτό, ο παράγοντας απειλής πίσω από το κακόβουλο λογισμικό συνενώνει μεταξύ 500 και 1.000 αρχείων ZIP, αλλά χρησιμοποιεί επίσης άλλα κόλπα για να κάνει πιο δύσκολη την ανάλυση από εργαλεία ανάλυσης.
Το πρόγραμμα φόρτωσης κακόβουλου λογισμικού Gootloader είναι ενεργό από το 2020 και χρησιμοποιείται από διάφορες κυβερνοεγκληματικές επιχειρήσεις, συμπεριλαμβανομένων των αναπτύξεων ransomware.
Μετά από ένα διάλειμμα επτά μηνών, η επιχείρηση επέστρεψε τον περασμένο Νοέμβριο, όπως αναφέρουν ερευνητές ασφαλείας στο Huntress Labs και την έκθεση DFIR.
Αν και υπήρχαν τότε αρχεία ZIP με κακή μορφή, είχαν ελάχιστες τροποποιήσεις και υπήρχαν αναντιστοιχίες ονομάτων αρχείου κατά την προσπάθεια εξαγωγής των δεδομένων.
Για να ενισχύσουν περαιτέρω την αντι-ανάλυση αυτού του σταδίου, οι χειριστές Gootloader έχουν πλέον εφαρμόσει πολύ πιο εκτεταμένους μηχανισμούς συσκότισης, σύμφωνα με Διώξε ερευνητές αναλύοντας πιο πρόσφατα δείγματα.
Συγκεκριμένα, οι ακόλουθοι μηχανισμοί χρησιμοποιούνται πλέον για την αποφυγή ανίχνευσης και ανάλυσης:
- Συνδέστε έως και χίλια αρχεία ZIP, εκμεταλλευόμενοι το γεγονός ότι οι αναλυτές διαβάζουν από το τέλος του αρχείου.
- Χρησιμοποιήστε ένα περικομμένο End of Central Directory (EOCD) που δεν περιέχει δύο υποχρεωτικά byte, σπάζοντας την ανάλυση από τα περισσότερα εργαλεία.
- Τυχαιοποιήστε τα πεδία αριθμού δίσκου, με αποτέλεσμα τα εργαλεία να αναμένουν ανύπαρκτα αρχεία πολλών δίσκων.
- Προσθέστε αναντιστοιχίες μεταδεδομένων μεταξύ των κεφαλίδων τοπικών αρχείων και των καταχωρήσεων του κεντρικού καταλόγου.
- Δημιουργήστε μοναδικά δείγματα ZIP και JScript για κάθε λήψη για να αποφύγετε τον στατικό εντοπισμό.
- Παραδώστε το ZIP ως blob με κωδικοποίηση XOR, το οποίο αποκωδικοποιείται και προστίθεται επανειλημμένα από την πλευρά του πελάτη μέχρι να φτάσει στο επιθυμητό μέγεθος, αποφεύγοντας τον εντοπισμό βάσει δικτύου.
Πηγή: Expel
Μόλις εκτελεστεί στον κεντρικό υπολογιστή, το JScript του κακόβουλου λογισμικού ενεργοποιείται μέσω του Windows Script Host (WScript) από έναν προσωρινό κατάλογο και εδραιώνει την επιμονή προσθέτοντας αρχεία συντόμευσης (.LNK) στο φάκελο Startup που οδηγούν σε ένα δεύτερο αρχείο JScript.
Αυτό το ωφέλιμο φορτίο εκτελείται κατά την πρώτη εκκίνηση και με κάθε εκκίνηση του συστήματος, ενεργοποιώντας το CScript με συντομεύσεις NTFS, ακολουθούμενο από το PowerShell που δημιουργεί το PowerShell.
Ενώ οι συγγραφείς του Gootloader πρόσθεσαν πολλές τεχνικές διαφθοράς για να αποφύγουν τον εντοπισμό χωρίς να παραβιάσουν τη λειτουργικότητα, οι ερευνητές του Expel χρησιμοποίησαν τις δομικές ανωμαλίες που επιτρέπουν στους υπερασπιστές να εντοπίσουν την απειλή. Η ομάδα μοιράστηκε επίσης ένα Κανόνας YARA ότι “μπορεί να αναγνωρίζει με συνέπεια τα τρέχοντα αρχεία ZIP.”
Η ανίχνευση βασίζεται στον εντοπισμό ενός συγκεκριμένου συνδυασμού χαρακτηριστικών κεφαλίδας ZIP, εκατοντάδων επαναλαμβανόμενων κεφαλίδων τοπικών αρχείων και εγγραφών EOCD.
Οι ερευνητές συνιστούν στους υπερασπιστές να αλλάξουν την προεπιλεγμένη εφαρμογή για το άνοιγμα αρχείων JScript σε Notepad αντί για Windows Script Host, για να αποτρέψουν την εκτέλεσή τους.
Για να μειώσετε την επιφάνεια επίθεσης, η Expel συμβουλεύει το μπλοκάρισμα wscript.exe και cscript.exe από την εκτέλεση ληφθέντος περιεχομένου εάν δεν χρειάζονται αρχεία JScript.
Καθώς το MCP (Model Context Protocol) γίνεται το πρότυπο για τη σύνδεση LLM με εργαλεία και δεδομένα, οι ομάδες ασφαλείας προχωρούν γρήγορα για να διατηρήσουν αυτές τις νέες υπηρεσίες ασφαλείς.
Αυτό το δωρεάν φύλλο εξαπάτησης περιγράφει 7 βέλτιστες πρακτικές που μπορείτε να αρχίσετε να χρησιμοποιείτε σήμερα.
VIA: bleepingcomputer.com
