Μια νέα απειλή που στοχεύει Κινέζους χρήστες εμφανίστηκε με μια επικίνδυνη ικανότητα να κλείνει τα εργαλεία ασφαλείας.
Το RONINGLOADER, ένας φορτωτής πολλών σταδίων που διαδίδει μια τροποποιημένη έκδοση του gh0st RAT, χρησιμοποιεί έξυπνα κόλπα για να παρακάμψει την προστασία από ιούς.
Το κακόβουλο λογισμικό φτάνει μέσω πλαστών προγραμμάτων εγκατάστασης λογισμικού που προσποιούνται ότι είναι νόμιμα προγράμματα όπως το Google Chrome και το Microsoft Teams.
Μόλις εισέλθει σε ένα σύστημα, λειτουργεί μέσω πολλών επιπέδων μόλυνσης για να απενεργοποιήσει το Windows Defender και δημοφιλή κινεζικά προϊόντα ασφαλείας όπως το Qihoo 360 Total Security και το Huorong.
Αυτή η καμπάνια δείχνει πώς οι εισβολείς γίνονται καλύτεροι στο να ξεπερνούν τις άμυνες ασφαλείας. Το κακόβουλο λογισμικό φέρνει το δικό του υπογεγραμμένο πρόγραμμα οδήγησης που φαίνεται νόμιμο στα Windows, αλλά στην πραγματικότητα το βοηθά να σκοτώσει τις διαδικασίες ασφαλείας.
Αυτό που το κάνει επικίνδυνο είναι πόσα εφεδρικά σχέδια έχει. Εάν μια μέθοδος απενεργοποίησης της ασφάλειας αποτύχει, δοκιμάζει πολλές άλλες προσεγγίσεις.
Αυτό δείχνει ότι η ομάδα Dragon Breath APT πίσω της έχει μάθει από προηγούμενες καμπάνιες και βελτίωσε τις μεθόδους της.
Μετά την παρακολούθηση των συστημάτων ανίχνευσης, αναλυτές ασφαλείας Elastic αναγνωρισθείς Αυτή η καμπάνια χρησιμοποιεί έναν κανόνα συμπεριφοράς που έχει σχεδιαστεί για να εντοπίζει την κατάχρηση προστατευμένου φωτός διαδικασίας.
Η ερευνητική ομάδα βρήκε το RONINGLOADER χρησιμοποιώντας μια τεχνική που τεκμηριώθηκε δημόσια λίγους μήνες νωρίτερα. Το κακόβουλο λογισμικό εκμεταλλεύεται μια δυνατότητα των Windows που προορίζεται για την προστασία σημαντικών διεργασιών του συστήματος, αλλά το στρέφει εναντίον του ίδιου του Defender.
Μέθοδος επίθεσης και αλυσίδα μόλυνσης
Η μόλυνση ξεκινά με ένα trojanized πρόγραμμα εγκατάστασης NSIS που ρίχνει πολλά στοιχεία στο σύστημα του θύματος. Όταν κάποιος εκτελεί αυτό που πιστεύει ότι είναι ένα κανονικό πρόγραμμα εγκατάστασης λογισμικού, στην πραγματικότητα ενεργοποιεί δύο ξεχωριστά προγράμματα εγκατάστασης.
.webp.jpeg)
Το ένα εγκαθιστά το πραγματικό λογισμικό για να αποφύγει την υποψία, ενώ το δεύτερο αναπτύσσει αθόρυβα την αλυσίδα επίθεσης.
Το κακόβουλο λογισμικό δημιουργεί έναν κατάλογο στο C:\Program Files\Snieoatwtregoable\ και ρίχνει δύο αρχεία: Snieoatwtregoable.dll και ένα κρυπτογραφημένο αρχείο που ονομάζεται tp.png.
Το αρχείο DLL αποκρυπτογραφεί το tp.png χρησιμοποιώντας έναν απλό αλλά αποτελεσματικό αλγόριθμο που συνδυάζει την κρυπτογράφηση XOR με μια λειτουργία περιστροφής:
*encrypted_file_content = _ROR1_(*encrypted_file_content ^ xor_key[indx), 4);After decryption, the malware loads fresh system libraries to remove any security hooks that might catch its behavior. It then elevates its privileges using the runas command and scans for running security software.
The malware looks explicitly for Microsoft Defender, Kingsoft Internet Security, Tencent PC Manager, and Qihoo 360 Total Security by checking their process names.
To kill these processes, RONINGLOADER uses a signed driver called ollama.sys that was digitally signed by Kunming Wuqi E-commerce Co., Ltd.
The driver registers a single function that accepts a process ID and terminates it using kernel-level APIs that normal security tools cannot block.
The malware writes this driver to disk, creates a temporary service to load it, sends the termination command, and immediately deletes the service.
For Qihoo 360, the malware takes extra steps by blocking all network connections through firewall rules before injecting code into the Volume Shadow Copy service process.
This injection uses Windows thread pools with file write triggers, a technique that helps it avoid detection.
