Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   AgentTesla + Word: бесфайловые атаки не оставляют шансов на обнаружение (http://txgate.io:443/showthread.php?t=8419)

Artifact 03-24-2025 10:20 PM

Вредонос искусно скрывается в системе, попутно отключая любые защитные механизмы.
https://www.securitylab.ru/upload/ib...eslich5quk.jpg
В рамках недавней кампании по распространению вредоносного программного обеспечения AgentTesla, подробно рассмотренной специалистами SonicWall, злоумышленники использовали VBA-макросы в документах Word для проведения атаки методом бесфайловой инъекции, при которой вредоносная нагрузка загружается непосредственно в оперативную память компьютера.
Зловредная программа управляется с помощью механизма CLR hosting, который позволяет нативным процессам Windows выполнять .NET-код. Для этого используются динамически загружаемые библиотеки .NET, что и позволяет вредоносу функционировать, не оставляя файлов на диске.
Особенностью вредоноса является отключение системы Event Tracing for Windows (ETW) путём модификации API «EtwEventWrite». Затем скачивается и выполняется шелл-код, содержащий нагрузку AgentTesla, используя API «EnumSystemLocalesA».
Шелл-код использует хеширование для динамического определения API, таких как VirtualAlloc и VirtualFree, что позволяет избежать обнаружения. После этого он выделяет память и записывает раскодированную нагрузку AgentTesla для её выполнения.
Если какая-либо из требуемых DLL отсутствует, вредонос загружает её через функцию LoadLibraryA. Шелл-код также отключает сканирование AMSI, модифицируя функции «AmsiScanBuffer» и «AmsiScanString».
Для выполнения вредоносного .NET-кода вредонос использует CLR hosting, создавая экземпляр CLR runtime, после чего ищет подходящую версию .NET, загружает зловредный код в AppDomain и запускает его. После попадания вредоносного процесса в оперативную память, шелл-код уничтожает загруженные данные, предотвращая обнаружение.
Таким образом, хакеры находят всё более изощренные способы заражения систем с помощью вредоносного ПО, обходя традиционные методы обнаружения. Такие сложные техники взлома требуют постоянного совершенствования защитных механизмов на всех уровнях для обеспечения приемлемой кибербезопасности.
Code:
<pre class="alt2" dir="ltr" style="
margin: 0px;
padding: 6px;
border: 1px solid rgb(0, 0, 0);
width: 640px;
height: 34px;
text-align: left;
overflow: auto;
background: rgb(37, 37, 37) none repeat scroll 0% 0%;
border-radius: 5px;
font-size: 11px;
text-shadow: none;">https://blog.sonicwall.com/en-us/2024/04/analysis-of-native-process-clr-hosting-used-by-agenttesla/</pre>


All times are GMT. The time now is 11:59 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.