Хакери, работещи на китайски език се възползват от файловия формат на Windows Installer (MSI), за да заобиколят стандартните проверки за сигурност.
Известно е, че хакерите доставят зловреден софтуер в същите видове познати формати: Изпълними файлове, архиви и файлове на Microsoft Office и т.н. Новият зареждащ зловреден софтуер, насочен към китайски и корейски говорители, който изследователите от Cyberint са обозначили като „UULoader“, е в малко по-рядко срещаната форма MSI.
Всъщност Cyberint не е единственият доставчик, който е забелязал ръст на зловредните MSI от Азия това лято. Зараждащата се тенденция може да се дължи отчасти на някои нови скрити тактики, които позволяват на заплахите да игнорират недостатъците и да се възползват от силните му страни.
„Това не е много често срещано явление, [тъй като] зловредните MSI файлове се маркират доста лесно от статичните скенери“, обяснява изследователят по сигурността в Cyberint Шаул Вилкомир Прейсман. „Но ако използвате няколко хитри, малки трика – като премахване на заглавието на файла, използване на sideloader и други подобни – ще се справите.“
Изглежда, че неидентифицираният, но вероятно китайски колектив, който стои зад UULoader, го разпространява предимно чрез фишинг имейли. Те го маскират като програма за инсталиране на легитимно приложение като AnyDesk (което може да означава, че е насочено към предприятия) или като актуализация за приложение като Google Chrome.
Това трябва незабавно да задейства аларми във всяка система Windows, тъй като UULoader не е подписан и не се ползва с доверие, както би било при легитимно приложение. За да заобиколи това, Прейсман казва: „Той използва няколко доста прости механизми за заобикаляне на статиката, като премахване на заглавието на файла и странично зареждане на DLL, комбинацията от които го прави на пръв поглед почти невидим за повечето статични скенери.“
Първите няколко байта във всеки файл са като етикет за име, който позволява на операционната система и приложенията да разберат с какъв тип файл си имат работа. UULoader премахва този хедър – „MZ“ в този случай – от основните си изпълними файлове, за да предотврати класифицирането им като видове файлове, от които може да се заинтересува програма за сигурност. Това работи, казва Прейсман, защото „в опит да бъдат по-малко склонни към фалшиви положителни резултати, статичните скенери пренебрегват нещата, които не могат да класифицират, и всъщност не правят нищо с тях“.
Защо тогава всеки зловреден софтуер не прави това? Защото „когато премахнете заглавията на файловете, трябва да намерите начин да сглобите файла по някакъв начин, така че той да се изпълни на машината на жертвата“, отбелязва той. UULoader прави това с два еднобайтови файла, които съответстват на символите „M“ и „Z“. С помощта на проста команда двете букви се правят така, че по същество да реформират постфактум табелката с имената и програмите да могат да функционират както е необходимо.
UULoader използва още няколко трика, за да обърка жертвата си. От една страна, той стартира легитимен примамлив файл – например истинският инсталатор на Chrome, за който се представя на първо място. Освен това той изпълнява VBScript (VBS), който регистрира създадената от него папка като изключване в Microsoft Defender.
Като цяло неговите скрити механизми могат да обяснят защо първоначалните открития във VirusTotal миналия месец дадоха напълно безобидни резултати. „На пръв поглед никой не открива тези проби. Едва след като са известни от известно време – от няколко дни, и пясъчниците действително са имали време да ги обработят – откритията на тези проби се увеличават“, казва Прейсман.
В края на инфекциозната си верига UULoader е наблюдаван да пуска Gh0stRAT и допълнителни хакерски инструменти като Mimikatz. И тъй като тези инструменти са толкова широко популярни и приложими за различни видове атаки, точната природа и цел на тези инфекции все още не е известна.
Gh0stRAT е широко разпространен търговски инструмент за хакерство в китайските среди, където употребата на MSI изглежда се увеличава.
„Наблюдаваме го най-вече в Югоизточна Азия – съобщава Прейсман, – особено през последния месец, когато видяхме доста значителен ръст. Видяхме пет, 10, може би 20 случая за седмица, а през последния месец имаше значително увеличение – може би двойно по-голямо“.
Може би това ще продължи, докато MSI файловете не придобият известност, на каквато се радват другите типове файлове.
„В днешно време – казва той, – повечето потребители ще бъдат малко по-подозрителни към документ на Word или PDF. Инсталаторите на Windows наистина не са толкова разпространени, но са хитър начин за свързване на зловреден софтуер.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.