هکر ها از Event Logs ویندوز برای پنهان کردن بدافزار استفاده میکنند.

هکر ها از Event Logs ویندوز برای پنهان کردن بدافزار استفاده میکنند.

محققان امنیتی متوجه یک کمپین بدافزاری در قسمت Event Logs ویندوز شده اند، یک روشی که قبلا به صورت عمومی برای حملات attacks in the wild منتشر نشده بود.

محققان امنیتی متوجه یک کمپین بدافزاری در قسمت Event Logs ویندوز شده اند، یک روشی که قبلا به صورت عمومی برای حملات attacks in the wild منتشر نشده بود.
این متد به هکر اجازه میدهد تا بدافزار های بدون فایل را در فایل سیستم، در یک حمله ی کاملا پنهان ایجاد کند.
اضافه کردن پی لود ها به Event Logs ویندوز
محققان کسپراسکی نمونه های بدافزار را به کمک مجهز کردن یک مجموعه با تکنولوژی “behavior-based detection” و “anomaly control identified”، شناسایی کردند.
پس از تحقیقات مشخص شد بدافزار بخشی از یک کمپین " کاملا هدف گرفته شده" بوده و متکی به مجموعه بزرگی از ابزار ها، جفت شخصی سازی شده و به صورت تجاری موجود بوده است.
یکی از جذاب ترین بخش های حمله تزریق کردن پی لود های shellcode در درون event logs ویندوز برای کلید مدیریت سرویس ( KMS ) بوده است، یک فعالیت کامل شده توسط دراپر بدافزار شخصی سازی شده.
Denis Legezo، سرپرست محقق امنیتی کسپراسکی، گفته است که این روش برای اولین بار به صورت “in the wild” در طی کمپین های بدافزاری انجام شده است.

SilentBreak

دراپر، فایل های مشروع مدیریت ارور WerFault.exe را در مسیر ‘C:\ Windows\Task’ کپی میکند و سپس یک ریسورس انکریپت شده باینری را به ‘wer.dll’ در همان مکان ( قسمت گزارش ارور ویندوز ) دراپ میکند، برای جستجوی DLL دستور hijacking را برای بارگذاری کد های مخرب انجام میدهد.
DLL hijacking یک روش اکسپلویت کردن برنامه ها با چک های ناکافی است تا بر روی مموری یک DLL ( Dynamic Link Library ) مخرب از مسیر arbitrary لود کند.
Legezo گفته است که هدف دراپر این است که لودر برروی به دنبال رکورد خاصی در event logs ( کتگوری 0x4142 – ‘AB’ به صورت ASCII ) بگردد و اگر رکورد مد نظر پیدا نشد، یک فایل 8 کیلوبایتی از shellcode های انکریپ شده بنویسد، که بعدا برای ترکیب شدن جهت ایجاد کد در مراحل بعدی استفاده شود.
"دراپر wer.dll یک لودر است و به تنهایی بدون shellcode های پنهان شده در windows event logs، هیچ آسیبی نمیتواند وارد کند."

با توجه به تکنیک ها و ماژول های استفاده شده (  pen-testing suites، custom anti-detection wrappers, final stage trojans ) در کمپین، Legezo اضافه میکند که کمپین در کل بسیار " تحسین برانگیز به نظر میرسد".
همچنین او گفته است که هکر مسئول این کمپین بسیار با مهارت است، یا حداقل از ابزار های تجاری بسیار قدرتمندی استفاده میکند".
در میان ابزار هایی که در این حمله استفاده شده اند، فریم ورک های تجاری Cobalt Strike و NetSPI که برای تست نفوذ هستند.

SilentBreak

در حالی بعضی از ماژول استفاده شده در حمله به نظر میرسند شخصی سازی شده باشند، محقق اعلام کرده است که ممکن است بخشی از پلتفرم NetSPI باشند، که لایسنس نسخه تجاری برای تست ناموجود بوده است.
برای مثال، دو تروجان نامیده شده ThrowbackDLL.dll و SlingshotDLL.dll ممکن است ابزار هایی با اسم های شناخته شده بخشی از فریم ورک تست نفوذ SilentBreak باشند.
تحقیقات مراحل شروع حمله را سپتامبر 2021 ردیابی کرده اند هنگامی که قربانی فریب داده شد تا یک فایل RAR را از سرویس اشتراک فایل file.io دانلود کند.
سپس افراد هکر شروع به انتشار ماژول Cobalt Strike کردند که با یک certificate از شرکتی به نام Fast Invest ApS امضا شده بود. Certificate برای امضای 15 فایل استفاده شده که هیچکدام مشروع نبودند.

SilentBreak

در بیشتر موارد، هدف نهایی بدافزار با عملکرد فاز نهایی، بدنبال اطلاعات ارزشمند از قربانی ها است.
در حین مطالعه حملات، کسپراسکی هیچ شباهتی با کمپین های قبلی هکر مربوطه پیدا نکرده است.
تا زمانی که ارتباط معناداری با فرد متخاصم مربوطه پیدا شود، محققان فعالیت جدید را به SilentBreak نام گذاری میکنند، بیشترین ابزاری که در حمله استفاده شده است.

 

منبع : www.bleepingcomputer.com