Как стать автором
Обновить
«Лаборатория Касперского»
Ловим вирусы, исследуем угрозы, спасаем мир

Security Week 2221: вредоносный код в логах Windows

Время на прочтение2 мин
Количество просмотров3.9K

Исследователи «Лаборатории Касперского» обнаружили свежую вредоносную атаку, использующую нетривиальный способ скрыть ключевой вредоносный код, записывая его в логи Windows. Подробный разбор атаки опубликован здесь, а еще подробнее она описана автором исследования в этом видео. Таргетированная атака была обнаружена в феврале 2022 года. Помимо попыток спрятать вредоносный код в логах, организаторы атаки использовали множество систем обфускации, которые подробно описаны в отчете.

Самая ранняя атака с использованием этого достаточно уникального вредоносного кода была зафиксирована в сентябре 2021 года. Организаторы, помимо собственных инструментов, также использовали программы с открытым исходным кодом и коммерческое ПО, такое как CobaltStrike. В отчете приводится конкретный сценарий первоначальной атаки: сотрудника компании уговаривают скачать архив в формате .rar с публичного хостинга файлов и запустить содержимое.

Атакующие применяют массу способов обфускации кода, а также предпринимают попытки скрыть вредоносную деятельность. Для этого реализована многоуровневая система атаки, а, например, модуль из CobaltStrike зашифрован несколько раз. Позднее, уже на стадии коммуникации с командным сервером, используются доменные имена, сходные с легитимными доменами производителей программного обеспечения. Причем именно того, которое используется организацией. Часть исполняемых файлов имеет легитимную цифровую подпись.

«Восстановление кода» из логов используется на поздней стадии атаки. Программа-дроппер ищет в логах Windows записи, имеющие категорию 0x4142. Если программа их не находит, то выполняется запись в журнал системы от имени легитимной службы Key Management Service. Вредоносный код записывается кусками по 8 килобайт. В случае если код уже записан, дроппер запускает обратную операцию: собирает ПО из отдельных кусков и выполняет его. После окончательного взлома системы производится анализ ее параметров, информация отправляется на командный сервер.

Исследователи обнаружили два варианта троянской программы. Первый использует для коммуникации обычный протокол HTTP, второй — именованные каналы, то есть работает на основе протокола SMB. При этом функциональность второго трояна гораздо шире, хотя его возможность связываться с командным сервером за пределами корпоративной сети жертвы может быть ограничена. Предположительно вторая версия трояна может быть использована при дальнейшем распространении по атакованной сети.

Скрытие вредоносного кода в логах — это достаточно новый прием создателей вредоносного кода, который ранее не обнаруживался. Уникальность атаки в целом пока не позволяет связать ее с другими известными попытками взлома. При этом у организаторов достаточно широкие возможности проникновения в корпоративные системы. Еще одной особенностью данной атаки стало использование коммерческого ПО, в нормальных условиях предназначенного для легитимного тестирования защищенности компьютерных систем. Так как у авторов отчета нет доступа ко всем модулям данного коммерческого ПО (а у организаторов вредоносной компании он есть), некоторые элементы атаки, считающиеся уникальными, могут на самом деле быть частью продукта для тестирования на проникновение.

Теги:
Хабы:
Всего голосов 8: ↑8 и ↓0+8
Комментарии1

Публикации

Информация

Сайт
www.kaspersky.ru
Дата регистрации
Дата основания
Численность
5 001–10 000 человек
Местоположение
Россия