Cobalt Strike незаметно распространяется через 3 новых загрузчика

Исследователи Palo Alto Unit 42 описали 3 новых загрузчика Cobalt Strike , каждый из которых загружает разные типы имплантатов – SMB Beacon, DLL Beacon и стейджер Cobalt Strike.

SMB Beacon (KoboldLoader)

Чтобы обойти песочницы, которые перехватывают только функции пользовательского режима высокого уровня, он вызывает встроенные функции API. Чтобы усложнить анализ, он исполняет функции с помощью хэша вместо использования простых текстовых строк.

KoboldLoader создает дочерний процесс инструмента Windows «sethc.exe», затем создает новый раздел и сопоставляет с ним расшифрованный загрузчик маяка Cobalt Strike. Окончательное выполнение загрузчика Cobalt Strike происходит путем вызова «RtlCreateUserThread».

DLL Beacon (MagnetLoader)

MagnetLoader имитирует законную библиотеку Windows. Все экспортированные функции MagnetLoader вызывают одну и ту же основную подпрограмму вредоносного ПО. При вызове какой-либо функции запускается точка входа DLL, в которой вредоносное ПО загружает оригинальную библиотеку «mscms.dll» и разрешает все подделываемые функции.

Загрузчик маяка Cobalt Strike расшифровывается в буфер памяти и запускается, используя параметр обратного вызова функции Windows API «EnumChildWindows». Вредоносное ПО может злоупотреблять этим параметром, чтобы косвенно вызывать адрес через функцию обратного вызова и скрывать поток выполнения.

Стейджер (LithiumLoader)

LithiumLoader распространяется через легитимный установочный пакет FortiClient VPN, созданный злоумышленником и представленный VirusTotal как «FortiClientVPN_windows.exe». Поскольку файл подписан, он не обнаруживается антивирусным ПО.

Программа установки представляет собой самораспаковывающийся RAR-архив, содержащий следующие файлы:

При запуске установщика все файлы автоматически помещаются в локальную папку «%AppData%» и запускаются оба исполняемых файла. Во время выполнения установщика FortiClient VPN инструмент WinGup дополнительно загружает вредоносную библиотеку «libcurl.dll», импортируя некоторые функции из легитимной копии библиотеки «libcurl».

При компиляции библиотеки LithiumLoader в легитимную библиотеку внедряется вредоносный сценарий одной из функций. Затем эта функция запускает шелл-код стейджера Cobalt Strike косвенно через функцию обратного вызова «EnumSystemGeoID». Шелл-код стейджера Cobalt Strike заимствован из Metasploit и представляет собой обратную полезную нагрузку HTTP-оболочки.