Исследователи «Лаборатории Касперского» обнаружили свежую вредоносную атаку, использующую нетривиальный способ скрыть ключевой вредоносный код, записывая его в логи Windows. Подробный разбор атаки опубликован здесь, а еще подробнее она описана автором исследования в этом видео. Таргетированная атака была обнаружена в феврале 2022 года. Помимо попыток спрятать вредоносный код в логах, организаторы атаки использовали множество систем обфускации, которые подробно описаны в отчете.
Самая ранняя атака с использованием этого достаточно уникального вредоносного кода была зафиксирована в сентябре 2021 года. Организаторы, помимо собственных инструментов, также использовали программы с открытым исходным кодом и коммерческое ПО, такое как CobaltStrike. В отчете приводится конкретный сценарий первоначальной атаки: сотрудника компании уговаривают скачать архив в формате .rar с публичного хостинга файлов и запустить содержимое.
Атакующие применяют массу способов обфускации кода, а также предпринимают попытки скрыть вредоносную деятельность. Для этого реализована многоуровневая система атаки, а, например, модуль из CobaltStrike зашифрован несколько раз. Позднее, уже на стадии коммуникации с командным сервером, используются доменные имена, сходные с легитимными доменами производителей программного обеспечения. Причем именно того, которое используется организацией. Часть исполняемых файлов имеет легитимную цифровую подпись.
«Восстановление кода» из логов используется на поздней стадии атаки. Программа-дроппер ищет в логах Windows записи, имеющие категорию 0x4142. Если программа их не находит, то выполняется запись в журнал системы от имени легитимной службы Key Management Service. Вредоносный код записывается кусками по 8 килобайт. В случае если код уже записан, дроппер запускает обратную операцию: собирает ПО из отдельных кусков и выполняет его. После окончательного взлома системы производится анализ ее параметров, информация отправляется на командный сервер.
Исследователи обнаружили два варианта троянской программы. Первый использует для коммуникации обычный протокол HTTP, второй — именованные каналы, то есть работает на основе протокола SMB. При этом функциональность второго трояна гораздо шире, хотя его возможность связываться с командным сервером за пределами корпоративной сети жертвы может быть ограничена. Предположительно вторая версия трояна может быть использована при дальнейшем распространении по атакованной сети.
Скрытие вредоносного кода в логах — это достаточно новый прием создателей вредоносного кода, который ранее не обнаруживался. Уникальность атаки в целом пока не позволяет связать ее с другими известными попытками взлома. При этом у организаторов достаточно широкие возможности проникновения в корпоративные системы. Еще одной особенностью данной атаки стало использование коммерческого ПО, в нормальных условиях предназначенного для легитимного тестирования защищенности компьютерных систем. Так как у авторов отчета нет доступа ко всем модулям данного коммерческого ПО (а у организаторов вредоносной компании он есть), некоторые элементы атаки, считающиеся уникальными, могут на самом деле быть частью продукта для тестирования на проникновение.
