Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Хакеры прячут бесфайловое вредоносное ПО в журналах событий Windows (http://txgate.io:443/showthread.php?t=12516)

Artifact 03-27-2025 06:03 PM

Специалисты выявили вредоносную кампанию в феврале 2022 года, и в прошлом месяце она все еще была активна.
https://www.securitylab.ru/upload/ib...1e764683b3.jpg
Исследователи «Лаборатории Касперского» обнаружили вредоносную кампанию, в ходе которой для незаметного заражения систем бесфайловым вредоносным ПО хакеры используют ранее неизвестную технику.
Техника заключается во внедрении шелл-кода непосредственно в журнал событий Windows, что позволяет использовать журнал событий для сокрытия троянов, использующихся на последних этапах кибератаки.
Специалисты выявили вредоносную кампанию в феврале 2022 года, и в прошлом месяце она все еще была активна. Поскольку использующееся в кибератаках вредоносное ПО является уникальным, специалисты затрудняются отнести ее на счет какой-либо известной киберпреступной группировки. Как бы то ни было, стоящие за кампанией хакеры являются весьма умелыми, уверены эксперты.
«Мы считаем ранее не встречавшуюся нам технику с использованием журналов событий самой инновационной частью данной кампании», - отметил старший исследователь безопасности ЛК Денис Легезо.
В ходе кибератак хакеры используют ряд инструментов для внедрения кода и технику обхода обнаружения для доставки вредоносного ПО.
На первом этапе атаки злоумышленники заманивают жертву на легитимный сайт и обманом вынуждают загрузить сжатый файл .RAR, содержащий инструменты для тестирования сетей на проникновение Cobalt Strike и SilentBreak. С помощью этих инструментов они могут внедрять код в любой процесс, в частности, загружать дополнительные модули в системные процессы Windows или процессы доверенных приложений наподобие DLP.
Такой способ внедрения вредоносного ПО в память атакуемой системы называется бесфайловым и не является чем-то новым. Однако в отличие от предыдущих атак с использованием бесфайлового вредоносного ПО, в ходе выявленной ЛК новой кампании для обхода обнаружения код делится на блоки объемом по 8 КБ и сохраняется в двоичной части журналов событий.
По словам Легезо, «дроппер не только загружает на диск лаунчер для загрузки по сторонним каналам, но также записывает информационные сообщения с шелл-кодом в существующий журнал событий Windows KMS».
Далее лаунчер загружается в директорию задач Windows. В точке входа отдельный поток собирает все вышеупомянутые блоки по 8 КБ в один шелл-код и запускает его.
Однако журнал событий используется хакерами не только для загрузки шелл-кодов. Модули дроппера также «патчат» нативные API-функции Windows, относящиеся к отслеживанию событий и AMSI, благодаря чему процесс заражения становится еще более незаметным.


All times are GMT. The time now is 10:17 AM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.