Исследователи выявили в механизме вредоноса целый ряд различных методов уклонения от обнаружения.
На прошлой неделе аналитиками компании Minerva была обнаружена новая скрытая вредоносная программа под названием «Beep», обладающая множеством функций, позволяющих избежать анализа и обнаружения программным обеспечением безопасности.
Хотя вредонос Beep всё ещё находится в разработке и в нём пока отсутствуют несколько ключевых функций, в настоящее время он уже позволяет злоумышленникам загружать и выполнять дополнительные полезные нагрузки на скомпрометированных устройствах. Beep используется в первую очередь для кражи информации. Для работы программы задействуется три отдельных компонента: дроппер, инжектор и полезная нагрузка.
Дроппер («big.dll») создаёт новый раздел реестра со значением «AphroniaHaimavati», который содержит сценарий PowerShell в кодировке base64. Этот сценарий запускается каждые 13 минут с помощью запланированной задачи Windows.
Когда скрипт выполняется, он загружает данные и сохраняет их в инжектор с названием AphroniaHaimavati.dll. Инжектор — это компонент, который использует ряд методов защиты от отладки и защиты от виртуальных машин для внедрения полезной нагрузки в законный системный процесс «WWAHost.exe» с помощью «опустошения процесса» («Process Hollowing»), чтобы избежать обнаружения антивирусными средствами, запущенными на хосте.
Наконец, основная полезная нагрузка пытается собрать данные со взломанного компьютера, зашифровать их и отправить на C2-сервер. Во время анализа специалистами Minerva, жёстко прописанный в коде C2-сервер был отключен, но вредоносная программа пыталась подключиться к нему даже после 120 неудачных попыток.
https://www.securitylab.ru/upload/me...mn1bf8u47j.png
Схема работы вредоносной программы Beep
Что отличает вредоносную программу Beep от других, так это использование множества методов на протяжении всего процесса выполнения, чтобы избежать обнаружения и анализа антивирусными решениями и исследователями кибербезопасности. Специалисты Minerva обнаружили 8 различных техник, которые вредонос применяет в своей работе, и подробно описали их в своём отчёте .
Beep — это пример вредоносного ПО, которое в значительной степени ориентировано на уклонение, внедряющее сразу несколько механизмов антианализа, прежде чем завершить процесс кражи данных и выполнения вредоносных команд. Хотя в реальных атаках он встречается редко, Beep в будущем может стать серьёзной угрозой, на которую следует обратить внимание уже сейчас.