Хакеры теперь прячут вредоносное ПО в журналах событий Windows

DDoS-атака - Что делать?

Исследователи безопасности заметили вредоносную кампанию, которая использовала журналы событий Windows для хранения вредоносного ПО — метод, который ранее не был публично задокументирован для атак в дикой природе.

Этот метод позволил субъекту угрозы, стоящему за атакой, поместить в файловую систему вредоносное ПО без файлов в ходе атаки, наполненной техниками и модулями, разработанными для того, чтобы сделать действия как можно более скрытными.

Добавление полезной нагрузки в журналы событий Windows

Исследователи «Касперского» собрали образец вредоносной программы после того, как продукт компании, оснащенный технологией обнаружения на основе поведения и контроля аномалий, определил ее как угрозу на компьютере клиента.

В ходе расследования выяснилось, что вредоносная программа была частью «очень целенаправленной» кампании и использовала большой набор инструментов, как пользовательских, так и коммерчески доступных.
Одной из наиболее интересных частей атаки является внедрение полезной нагрузки shellcode в журналы событий Windows для служб управления ключами (Key Management Services, KMS) — действие, выполняемое пользовательским вредоносным дроппером.

Денис Легезо, ведущий исследователь безопасности в Kaspersky, говорит, что этот метод был использован «впервые «в дикой природе» во время вредоносной кампании».

Дроппер копирует легитимный файл обработки ошибок ОС WerFault.exe в ‘C:\Windows\Tasks’, а затем сбрасывает зашифрованный двоичный ресурс ‘wer.dll’ (Windows Error Reporting) в то же место, для перехвата порядка поиска DLL с целью загрузки вредоносного кода.

Перехват DLL — это хакерская техника, которая использует легитимные программы с недостаточными проверками для загрузки в память вредоносной библиотеки динамических связей (DLL) из произвольного пути.

Легезо говорит, что цель дроппера — загрузчик на диске для процесса боковой загрузки и поиск определенных записей в журнале событий (категория 0x4142 — ‘AB’ в ASCII. Если такая запись не найдена, он записывает 8 КБ куски зашифрованного шеллкода, которые позже объединяются в код для следующего стейджера.

«Брошенный wer.dll является загрузчиком и не причинил бы никакого вреда без шеллкода, скрытого в журналах событий Windows», — Денис Легезо, ведущий исследователь безопасности в Kaspersky.

Новая техника, проанализированная Касперским, скорее всего, на пути к популярности, поскольку Soumyadeep Basu, в настоящее время стажер красной команды Mandiant, создал и опубликовал на GitHub исходный код для внедрения полезной нагрузки в журналы событий Windows.

Технически продвинутый актер

Основываясь на различных техниках и модулях (наборы для пен-тестирования, пользовательские обертки для защиты от обнаружения, трояны финальной стадии), использованных в кампании, Легезо отмечает, что вся кампания «выглядит впечатляюще».

Он сказал BleepingComputer, что «агент, стоящий за этой кампанией, достаточно опытен сам по себе или, по крайней мере, имеет хороший набор довольно глубоких коммерческих инструментов», что указывает на противника уровня APT.

Среди инструментов, использованных в атаке, — коммерческие системы тестирования на проникновение Cobalt Strike и NetSPI (бывшая SilentBreak).

Хотя некоторые модули в атаке считаются пользовательскими, исследователь отмечает, что они могут быть частью платформы NetSPI, коммерческая лицензия на которую была недоступна для тестирования.

Например, два трояна под названиями ThrowbackDLL.dll и SlingshotDLL.dll могут быть одноименными инструментами, известными как часть фреймворка для тестирования на проникновение SilentBreak.

«Мы начали исследование с последнего этапа in-memory, а затем, используя нашу телеметрию, смогли восстановить несколько цепочек заражения» — Денис Легезо

Расследование позволило отследить начальную стадию атаки до сентября 2021 года, когда жертву обманом заставили загрузить RAR-архив с файлообменного сервиса file.io.

Затем агент угроз распространил модуль Cobalt Strike, который был подписан сертификатом компании Fast Invest ApS. Сертификат использовался для подписи 15 файлов, и ни один из них не был легитимным.

В большинстве случаев конечной целью целевых вредоносных программ с такой функциональностью последнего этапа является получение ценных данных от жертв, сообщил исследователь изданию BleepingComputer.

Изучая атаку, Касперский не обнаружил никаких сходств с предыдущими кампаниями, связанными с известным субъектом угрозы.

Пока не будет установлена связь с известным противником, исследователи отслеживают новую активность как SilentBreak, по названию инструмента, наиболее часто используемого в атаке.

Последнее обновление 10.05.2022