Istraživači iz LevelBlue Labs-a otkrili su novu taktiku prijetnji koju hakeri koriste za otmicu legitimnog antivirusnog softvera u zlonamjerne svrhe.
Ovaj sofisticirani napad koristi alat pod nazivom SbaProxy, koji se maskira kao legitimna antivirusna komponenta za uspostavljanje proxy veza preko komandnog i kontrolnog (C&C) servera.
SbaProxy je novi alat u evolutivnom kompletu alata hakera, sposoban da uspostavi proxy veze koje se mogu koristiti za generisanje prihoda.
Alat se distribuiše u različitim formatima, uključujući DLL-ove, EXE-ove i PowerShell skripte, što ga čini izazovnim za otkrivanje zbog njegovog legitimnog izgleda i sofisticiranog dizajna.
Hakeri modifikuju legitimne antivirusne binarne datoteke kako bi služile u zlonamjerne svrhe, a da pritom zadrže njihov izgled kao benigni softver.
Ovo otežava otkrivanje, jer su zlonamjerni binarni fajlovi potpisani važećim ili naizgled važećim certifikatima, zaobilazeći sigurnosne provjere.
Ciljani antivirusni proizvodi uključuju Malwarebytes, BitDefender i APEX proizvode, između ostalih.
Zlonamjerne binarne datoteke su potpisane važećim ili naizgled važećim certifikatima, što im pomaže da izbjegnu otkrivanje.
Na primjer, certifikat s otiskom palca “DCB42EF087633803CD17C0CD6C491D522B8A2A” izdat za “STERLING LIMITED” je trenutno važeći i koristi se za potpisivanje nekih od uzoraka u ovoj kampanji.
Haker je vjerovatno stekao ovaj certifikat za obavljanje svojih aktivnosti, jer datum kada je izdat odgovara vremenskom okviru kampanje.
Tehnička analiza
LevelBlue Labs je početkom juna uočio sumnjivu aktivnost koja potiče od naizgled legitimnih antivirusnih binarnih datoteka.
Nakon istrage, ova aktivnost je povezana s novim alatom povezanim s kampanjom koju je Sophos već prijavio krajem aprila.
Ovo označava novu iteraciju u skupu alata koji koristi ovaj haker.
Analiziran je uzorak maskiran kao BitDefender DLL za evidentiranje. Izvezene funkcije u zlonamjernom DLL-u bile su identične onima u originalnom DLL-u, osim jedne modifikovane funkcije, ‘LogSetMode’.
Ova funkcija je zamijenjena jmp instrukcijom na drugu adresu, koja dešifruje i izvršava u paketu XOR-šifrovani shellcode.
Funkcija dešifruje opterećenja, uključuje besmislenu petlju koja postavlja nekoliko lokalnih varijabli na tvrdo kodiranu vrijednost, koja se ponavlja 448.840 puta.
Ovo je rudimentarni oblik zaobilaženja metoda detekcije koje se oslanjaju na emulaciju.
Nakon završetka petlje, kod provjerava jednu od vrijednosti postavljene varijable i ruši ako nije ono što se očekivalo.
Kod zatim dodjeljuje memoriju za korisni teret, dešifruje ga pomoću tvrdokodiranog višebajtnog XOR ključa i izvršava ga.
Početna komunikacija sa C&C serverom uključuje seriju poziva funkcije ‘send’ sa svim nultim sadržajem i dužinama od 16, 4 i 0 bajtova, respektivno.
Ovo je vjerovatno magična sekvenca koja osigurava da C&C odgovara samo zlonamjernom klijentu.
Nakon izvođenja ovog skupa slanja, prima 16 bajtova od C&C-a i šalje ih nazad na server preko nove utičnice.
Ovaj novi skup veza se izvodi u iterativnoj petlji, omogućavajući nekoliko aktivnih veza paralelno.
Ovi napadači otimaju legitimni antivirusni softver kako bi izbjegli otkrivanje, koristeći važeće certifikate i izrađujući zlonamjerne binarne datoteke koje oponašaju legitimne, što komplikuje otkrivanje prijetnji.
Kako sajber kriminalci inoviraju, organizacije moraju ostati budne i proaktivne u svojoj odbrani.
LevelBlue Labs je razvio metode detekcije za identifikaciju i borbu protiv ove prijetnje.
Ovo uključuje SURICATA IDS potpise koji upozoravaju na specifične obrasce komunikacije sa C&C serverom.
Povezani indikatori kompromisa (IOC) dostupni su u OTX Pulsu.
Izvor: CyberSecurityNews
