AgentTesla + Word: бесфайловые атаки не оставляют шансов на обнаружение

AgentTesla + Word: бесфайловые атаки не оставляют шансов на обнаружение

Вредонос искусно скрывается в системе, попутно отключая любые защитные механизмы.

image

В рамках недавней кампании по распространению вредоносного программного обеспечения AgentTesla, подробно рассмотренной специалистами SonicWall, злоумышленники использовали VBA-макросы в документах Word для проведения атаки методом бесфайловой инъекции, при которой вредоносная нагрузка загружается непосредственно в оперативную память компьютера.

Зловредная программа управляется с помощью механизма CLR hosting, который позволяет нативным процессам Windows выполнять .NET-код. Для этого используются динамически загружаемые библиотеки .NET, что и позволяет вредоносу функционировать, не оставляя файлов на диске.

Особенностью вредоноса является отключение системы Event Tracing for Windows (ETW) путём модификации API «EtwEventWrite». Затем скачивается и выполняется шелл-код, содержащий нагрузку AgentTesla, используя API «EnumSystemLocalesA».

Шелл-код использует хеширование для динамического определения API, таких как VirtualAlloc и VirtualFree, что позволяет избежать обнаружения. После этого он выделяет память и записывает раскодированную нагрузку AgentTesla для её выполнения.

Если какая-либо из требуемых DLL отсутствует, вредонос загружает её через функцию LoadLibraryA. Шелл-код также отключает сканирование AMSI, модифицируя функции «AmsiScanBuffer» и «AmsiScanString».

Для выполнения вредоносного .NET-кода вредонос использует CLR hosting, создавая экземпляр CLR runtime, после чего ищет подходящую версию .NET, загружает зловредный код в AppDomain и запускает его. После попадания вредоносного процесса в оперативную память, шелл-код уничтожает загруженные данные, предотвращая обнаружение.

Таким образом, хакеры находят всё более изощренные способы заражения систем с помощью вредоносного ПО, обходя традиционные методы обнаружения. Такие сложные техники взлома требуют постоянного совершенствования защитных механизмов на всех уровнях для обеспечения приемлемой кибербезопасности.

Квантовый кот Шрёдингера ищет хозяина!

Живой, мертвый или в суперпозиции? Узнайте в нашем канале

Откройте коробку любопытства — подпишитесь