Контакты
Подписка 2024
Удаленный доступ
4 июля. Защищенный удаленный доступ к ИТ-инфраструктуре: как обеспечить контролируемое подключение внешних сотрудников
Регистрируйтесь на онлайн-конференцию!

Хакеры прячут бесфайловое вредоносное ПО в журналах событий Windows

06/05/22

hack122-1Исследователи «Лаборатории Касперского» обнаружили вредоносную кампанию, в ходе которой для незаметного заражения систем бесфайловым вредоносным ПО хакеры используют ранее неизвестную технику.

Техника заключается во внедрении шелл-кода непосредственно в журнал событий Windows, что позволяет использовать журнал событий для сокрытия троянов, использующихся на последних этапах кибератаки.

Специалисты выявили вредоносную кампанию в феврале 2022 года, и в прошлом месяце она все еще была активна. Поскольку использующееся в кибератаках вредоносное ПО является уникальным, специалисты затрудняются отнести ее на счет какой-либо известной киберпреступной группировки. Как бы то ни было, стоящие за кампанией хакеры являются весьма умелыми, уверены эксперты.

«Мы считаем ранее не встречавшуюся нам технику с использованием журналов событий самой инновационной частью данной кампании», - отметил старший исследователь безопасности ЛК Денис Легезо.

В ходе кибератак хакеры используют ряд инструментов для внедрения кода и технику обхода обнаружения для доставки вредоносного ПО.

На первом этапе атаки злоумышленники заманивают жертву на легитимный сайт и обманом вынуждают загрузить сжатый файл .RAR, содержащий инструменты для тестирования сетей на проникновение Cobalt Strike и SilentBreak. С помощью этих инструментов они могут внедрять код в любой процесс, в частности, загружать дополнительные модули в системные процессы Windows или процессы доверенных приложений наподобие DLP.

Такой способ внедрения вредоносного ПО в память атакуемой системы называется бесфайловым и не является чем-то новым. Однако в отличие от предыдущих атак с использованием бесфайлового вредоносного ПО, в ходе выявленной ЛК новой кампании для обхода обнаружения код делится на блоки объемом по 8 КБ и сохраняется в двоичной части журналов событий.

По словам Легезо, «дроппер не только загружает на диск лаунчер для загрузки по сторонним каналам, но также записывает информационные сообщения с шелл-кодом в существующий журнал событий Windows KMS».

Далее лаунчер загружается в директорию задач Windows. В точке входа отдельный поток собирает все вышеупомянутые блоки по 8 КБ в один шелл-код и запускает его.

Однако журнал событий используется хакерами не только для загрузки шелл-кодов. Модули дроппера также «патчат» нативные API-функции Windows, относящиеся к отслеживанию событий и AMSI, благодаря чему процесс заражения становится еще более незаметным.

Темы:WindowsУгрозыЛК
NGFW
28 июня. Комплексный подход к кибербезопасности. Защита АСУ ТП. Безопасность КИИ
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...