攻击者使用事件日志隐藏恶意软件
导语:一场复杂的恶意活动使用一种新的反检测方法。
研究人员发现了一项恶意活动,其利用一种前所未有的技术在目标机器上悄悄地植入无文件恶意软件。该技术涉及将shellcode直接注入Windows事件日志。根据卡巴斯基周三发布的研究报告声称,这允许对手使用Windows事件日志作为恶意使用特洛伊木马病毒的掩护。
研究人员在2月份发现了该运动,并认为身份不明的网络威胁者在过去一个月里一直很活跃。卡巴斯基全球研究和分析团队的高级安全研究员Denis Legezo认为:这个他们从未见过的事件日志技术是本次活动最具创新性的部分。
战役背后的攻击者使用一系列注入工具和反检测技术来成功安装恶意软件。Legezo写道:网络威胁者至少使用两种商业产品,以及加上几种类型的最后阶段RAT和反检测包装。由此可以看出这场运动背后的行为者非常有能力。
无文件恶意软件隐藏在普通视线中(事件日志)
攻击的第一阶段通过将对手目标驱动到合法网站,并诱使目标下载压缩网站。他们使用名为Cobalt Strike和SilentBreak的网络渗透测试工具的RAR文件陷阱。这两种工具在黑客中都很受欢迎,黑客们使用它们作为向目标机器交付shell代码的工具。
Cobalt Strike和SilentBreak使用单独的反检测AES解密器,使用Visual Studio编译。Cobalt Strike模块的数字证书各不相同。根据卡巴斯基的说法,他们从包装到最后的“演出”使用了15个不同的舞台演员的面孔。接下来,攻击者利用Cobalt Strike和SilentBreak“将代码注入任何进程”,并可以向Windows系统进程或DLP等受信任的应用程序注入其他模块。他们通过这层感染链解密,映射到内存中并启动代码,将恶意软件注入系统内存并最终将其归类为无文件。
顾名思义,无文件恶意软件会感染目标计算机,因为此类软件在本地硬盘驱动器上不会留下任何工件,因此很容易绕过传统的基于签名的安全和取证工具。攻击者将活动隐藏在计算机的随机访问内存中,并使用原生Windows工具,如PowerShell和Windows管理仪器(WMI)。这种做法并不新鲜。然而,令人新奇的是,如何将包含恶意有效负载的加密shellcode嵌入到Windows事件日志中。为了避免被检测,代码被分为8 KB片段,并保存在事件日志的二进制部分中。
Legezo说:滴管不仅将启动器放在磁盘上进行加载,还可以将带有shellcode的信息消息写入现有的Windows KMS事件日志中。掉落的wer.dll是一个加载程序,如果没有隐藏在Windows事件日志中的shellcode,就不会造成任何伤害。滴管在事件日志中搜索类别为0x4142(ASCII中的“AB”)的记录,并以密钥管理服务为来源。如果找不到,则通过ReportEvent()Windows API函数(lpRawData参数)将8KB块的shellcode写入信息日志消息中。接下来,启动器将被放入Windows任务目录中。研究人员写道:在启动处,一个单独的线程将上述所有8KB片段组合成一个完整的shell代码并运行它。
研究人员补充说:对广告系列中事件日志的关注不仅限于存储shellcode。同时Dropper模块还修补了与事件跟踪(ETW)和反恶意软件扫描接口(AMSI)相关的Windows原生API功能,以使感染过程更隐蔽。
身份不明的对手交付痛苦的有效载荷
使用这种隐形方法,攻击者可以提供他们的两个远程访问木马(RAT)中的任何一个,每个特洛伊木马都是复杂的、自定义的代码和公开可用软件元素的组合。总而言之,凭借其使用木马向任何进程注入代码的能力,攻击者可以自由地广泛使用此功能,将下一个模块注入Windows系统进程或受信任的应用程序中。
网络空间的归因很棘手。分析师所能做的最好的事情就是深入挖掘攻击者的战术、技术和程序(TTP)以及他们编写的代码。如果这些TTP或该代码与已知行为者过去的攻击活动重叠,这就可能是将嫌疑人定罪的依据。
但是在目前这种情况下,研究人员发现归因很困难。这是因为,除了将shellcode注入Windows事件日志这项前所未有的技术外,此活动还有一个独特的组件:代码本身。虽然滴管是商业上可用的产品,但它们搭配的防检测包装和RAT是定制的(尽管研究人员认为定制的一些模块,如包装器和最后的舞台,可能是商业产品的一部分)。
根据该报告,该代码非常独特,与已知恶意软件没有相似之处。因此,研究人员尚未确定攻击者的身份。研究人员也声称,如果出现新的模块,并允许我们将活动与某些攻击组织联系起来,他们将相应地更新名称。
发表评论