Stručnjaci za sajber sigurnost uočili su zabrinjavajući trend u svijetu malicioznog softvera, jer hakeri sve više koriste tehnike bez datoteka kako bi zaobišli tradicionalne sigurnosne mjere.
Sofisticirani program za učitavanje shellcode-a zasnovan na PowerShell-u koji izvršava Remcos Remote Access Trojan (RAT) pojavio se kao najnoviji primjer ove evolucije, demonstrirajući kako napadači prilagođavaju svoje metode kako bi ostali neotkriveni u kompromitovanim sistemima.
Napad počinje naizgled bezopasnim ZIP arhivama koje sadrže LNK datoteke koje su, nakon izvršenja, aktiviraju lanac događaja osmišljenih da ostave minimalne forenzičke dokaze.
Ove datoteke iskorištavaju izvršavanje proxyja putem pouzdanih sistemskih binarnih datoteka kako bi uspostavile perzistentnost dok rade gotovo u potpunosti unutar memorije, efektivno zaobilazeći mehanizme detekcije zasnovane na potpisima koji se oslanjaju na skeniranje datoteka.
Istraživači kompanije Qualys su identifikovali ovu prijetnju tokom rutinskih operacija traženja prijetnji, ističući njenu izuzetnu sposobnost da izbjegne tradicionalne platforme za zaštitu krajnjih tačaka.
„Ovaj maliciozni softver primjer je rastuće sofisticiranosti napada bez datoteka“, objasnio je Prashant Pawar, glavni inženjer za istraživanje prijetnji u Qualysu.
„Izvršavanjem malicioznog koda direktno u memoriji i korištenjem pouzdanih Windows komponenti, on ostaje praktično nevidljiv za konvencionalne sigurnosne alate .“
Utjecaj takvih napada proteže se dalje od neposrednog kompromitovanja sistema. Nakon što se uspostavi, Remcos RAT pruža napadačima široke mogućnosti, uključujući snimanje ekrana, keylogging , krađu podataka iz web pretraživača i automatizirano izvlačenje podataka.
.webp)
Njegova prikrivena priroda znači da infekcije mogu trajati duži period, dajući prijetnjama dovoljno vremena da ostvare svoje ciljeve dok branioci ostaju nesvjesni kršenja.
Primarni vektor infekcije uključuje maliciozne priloge e-pošte prikrivene kao porezne dokumente.
Kada se otvore, ovi programi pokreću sofisticirani lanac izvršavanja koji na kraju učitava Remcos RAT direktno u memoriju bez zapisivanja malicioznog sadržaja na disk.
.webp)
Početnu LNK datoteku je otkrio i uklonio Qualys EPP, čime je spriječeno širenje infekcije.
Tehnike izbjegavanja detekcije
Program za učitavanje shellcode-a koristi nekoliko naprednih tehnika kako bi izbjegao otkrivanje. U svojoj srži, napad koristi PowerShell-ovu sposobnost izvršavanja koda direktno u memoriji, zaobilazeći mehanizme za skeniranje datoteka.
Autori malicioznog softvera implementirali su više slojeva obfuskacije unutar svojih PowerShell skripti, uključujući šifrirane stringove, dinamičko API razrješenje i binarno padding kako bi zbunili automatske alate za analizu .
Lanac napada počinje kada korisnici interaguju sa zlonamjernim LNK datotekama koje izvršavaju MSHTA sa posebno kreiranim argumentima komandi.
Ovo pokreće preuzimanje i izvršavanje HTA datoteke (identificirane kao xlab22.hta sa hashom 1b26f7e369e39312e4fcbc993d483b17) sa komandnih i kontrolnih servera, uključujući mytaxclientcopy[.]com.
HTA datoteka potom pokreće PowerShell za izvršavanje konačnog korisnog tereta.
.webp)
Stablo procesa koje je snimio Qualys EDR prikazuje odnose između roditelj-dijete procesa koji karakteriziraju ovaj napad.
Vizualizacija otkriva kako se legitimni Windows procesi zloupotrebljavaju za izvršavanje malicioznog koda, stvarajući složeni lanac koji sigurnosnim timovima otežava atribuciju i detekciju.
Maliciozni softver uspostavlja perzistentnost modificiranjem ključeva registra, osiguravajući da preživi ponovno pokretanje sistema bez stvaranja sumnjivih datoteka na disku.
Također koristi tehnike zaobilaženja kontrole korisničkih računa kako bi povećao privilegije, omogućavajući mu obavljanje osjetljivih operacija bez aktiviranja sigurnosnih upozorenja.
Stručnjacima za sigurnost se savjetuje da implementiraju sveobuhvatno PowerShell evidentiranje, omoguće praćenje Antimalware Scan Interface (AMSI) i implementiraju robusna EDR rješenja sposobna za otkrivanje anomalija u ponašanju, umjesto da se oslanjaju isključivo na potpise datoteka.
Rano otkrivanje ostaje ključno u sprečavanju da ove sofisticirane prijetnje uspostave trajno uporište u poslovnim okruženjima.
Izvor: CyberSecurityNews