Security Week 2221: вредоносный код в логах Windows

Security Week 2221: вредоносный код в логах Windows

Исследователи «Лаборатории Касперского» обнаружили свежую вредоносную атаку, использующую нетривиальный способ скрыть ключевой вредоносный код, записывая его в логи Windows. Подробный разбор атаки опубликован здесь , а еще подробнее она описана автором исследования в этом видео . Таргетированная атака была обнаружена в феврале 2022 года. Помимо попыток спрятать вредоносный код в логах, организаторы атаки использовали множество систем обфускации, которые подробно описаны в отчете.


Самая ранняя атака с использованием этого достаточно уникального вредоносного кода была зафиксирована в сентябре 2021 года. Организаторы, помимо собственных инструментов, также использовали программы с открытым исходным кодом и коммерческое ПО, такое как CobaltStrike. В отчете приводится конкретный сценарий первоначальной атаки: сотрудника компании уговаривают скачать архив в формате .rar с публичного хостинга файлов и запустить содержимое.

Атакующие применяют массу способов обфускации кода, а также предпринимают попытки скрыть вредоносную деятельность. Для этого реализована многоуровневая система атаки, а, например, модуль из CobaltStrike зашифрован несколько раз. Позднее, уже на стадии коммуникации с командным сервером, используются доменные имена, сходные с легитимными доменами производителей программного обеспечения. Причем именно того, которое используется организацией. Часть исполняемых файлов имеет легитимную цифровую подпись.

«Восстановление кода» из логов используется на поздней стадии атаки. Программа-дроппер ищет в логах Windows записи, имеющие категорию 0x4142. Если программа их не находит, то выполняется запись в журнал системы от имени легитимной службы Key Management Service. Вредоносный код записывается кусками по 8 килобайт. В случае если код уже записан, дроппер запускает обратную операцию: собирает ПО из отдельных кусков и выполняет его. После окончательного взлома системы производится анализ ее параметров, информация отправляется на командный сервер.

Исследователи обнаружили два варианта троянской программы. Первый использует для коммуникации обычный протокол HTTP, второй — именованные каналы, то есть работает на основе протокола SMB. При этом функциональность второго трояна гораздо шире, хотя его возможность связываться с командным сервером за пределами корпоративной сети жертвы может быть ограничена. Предположительно вторая версия трояна может быть использована при дальнейшем распространении по атакованной сети.

Скрытие вредоносного кода в логах — это достаточно новый прием создателей вредоносного кода, который ранее не обнаруживался. Уникальность атаки в целом пока не позволяет связать ее с другими известными попытками взлома. При этом у организаторов достаточно широкие возможности проникновения в корпоративные системы. Еще одной особенностью данной атаки стало использование коммерческого ПО, в нормальных условиях предназначенного для легитимного тестирования защищенности компьютерных систем. Так как у авторов отчета нет доступа ко всем модулям данного коммерческого ПО (а у организаторов вредоносной компании он есть), некоторые элементы атаки, считающиеся уникальными, могут на самом деле быть частью продукта для тестирования на проникновение.

event log
Alt text

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!