Злоумышленники используют новый способ обхода обнаружения RAT
Метод заключается в том, что в процессе выполнения вредоносная полезная нагрузка остается в памяти и не взаимодействует с диском в незашифрованном виде.
В течение многих лет злоумышленники используют трояны для удаленного доступа (RAT) с целью получения доступа к хранящимся на компьютерах жертв файлам и таким ресурсам, как камера, микрофон и т.д. Традиционно RAT инфицирует систему, когда пользователь открывает вредоносное вложение электронного письма или загружает файл с web-сайта или пиринговой сети. Оба вектора атаки предполагают использование файлов для загрузки вредоноса, поэтому подобные атаки легче детектируются.
По данным исследователей SentinelOne, киберпреступники стали применять новую технику распространения троянов для удаленного доступа в обход решений безопасности. Используемый злоумышленниками метод позволяет им загружать полезную нагрузку в память и обходить антивирусы и современные технологии, способные детектировать только угрозы, основанные на файлах.
Новый метод заключается в том, что в процессе выполнения вредоносная полезная нагрузка (файл) остается в памяти и не взаимодействует с диском в незашифрованном виде. Исследователи подчеркнули, что новыми являются не сами трояны для удаленного доступа, а применяемый злоумышленниками метод обхода обнаружения. В SentinelOne проанализировали способ инфицирования на примере трояна NanoCore, однако он также подходит и для других известных RAT.
После выполнения на системе жертвы вредонос копирует себя в %APPDATA%\Microsoft\Blend\14.0\FeedCache\nvSCPAPISrv.exe, извлекает второй код PerfWatson.exe и выполняет оба кода. Зашифрованная динамически подключаемая библиотека (DDL), ответственная за распаковку и внедрение RAT, расшифровывается и копируется в память. Настройки для DDL и самого исполняемого кода NanoCore в зашифрованном виде хранятся в нескольких PNG-файлах в виде пиксельных данных. После расшифровки всех компонентов полезная нагрузка трояна внедряется в новый процесс с использованием Win32 API.
Описанный исследователями способ обхода обнаружения успешно используется киберпреступниками в ходе спонсируемых правительствами атаках на учреждения в Азии.
Ваша приватность умирает красиво, но мы можем спасти её.