Със 100-то издание на TrickBot, зловредният софтуер беше оборудван с нови и усъвършенствани възможности за избягване на откриването от софтуер за киберзащита. Една такава възможност е използването на скрит скрипт за стартиране на злонамерени изпълними файлове.

Фактът, че груповите скриптове не се нуждаят от интерпретатор, но вграденият команден ред на Microsoft Windows прави тази техника на избягване самостоятелна.

TrickBot разгръща рансъмуер чрез неясни BAT скриптове

TrickBot е инфекция със злонамерен софтуер, често инсталирана чрез злонамерени фишинг имейли или друг злонамерен софтуер. Когато е инсталиран, TrickBot тихо ще работи на компютъра на жертвата, докато изтегля други модули за изпълнение на различни задачи.

Известно е, че TrickBot завършва атака, като предоставя достъп на хакери, които разполагат или рансумуера Ryuk или Conti в компрометираната мрежа.

Наскоро изследователи от Huntress Labs откриха друга проба на TrickBot, която използва подобен пакетен скрипт с над 40 реда замъглени кодове.

Когато се дешифрира, всичко, което направи, беше стартирането на злонамерения софтуер, действие, което можеше да бъде задействано само от един ред код:

 C:Usersksando.2HZAppDataRoamingIdentities1603031315ulib8b4.exe

Въпросният двоичен файл „ulib8b4.exe“ всъщност е полезният товар на TrickBot, който изпълнява широк спектър от злонамерени дейности, включително кражба на база данни на Active Directory Services на домейн, флангово разпространение в мрежа, блокиране на екрана, кражба на бисквитки и пароли на браузъра и кражба на OpenSSH ключове.

„Системните администратори често използват пакетни скриптове, за да улеснят живота си и да ускорят работния си процес“, казва Джон Хамънд, старши изследовател по сигурността в Huntress Labs.

„Но тъй като това предлага чудесен достъп до компютърната системахакерите и бандите, разпространяващи  зловредния софтуер се възползват също така от .bat файловете.“

Хамънд отбелязва, че въпреки че антивирусните продукти могат лесно да сканират групови скриптове с обикновен текст, фактът, че нападателят е преминал през няколко стъпки, за да прикрие проста команда от един ред, би направил практически невъзможно разкриването за EDR или базиран на сигнатури антивирусен продукт за откриване на такива заплахи.

Освен това, откриването на сигнатура може да бъде избегнато, като се има предвид, че има различни начини, по които атакуващият може да замъгли един и същ полезен товар, като всеки произвежда разлимчна сигнатура.

„На пръв поглед този код е напълно неразбираем. Изглежда като случайни букви в произволен ред, с произволни знаци за проценти, хвърлени навсякъде. Но cmd.exe ще го интерпретира и изпълни, а зловредният софтуер ще бъде  изпитан и истински вграден в системата „, каза Хамънд.

Защо скритите партидни скриптове представляват уникален проблем?

Журналисти попитаха Хамънд, като се има предвид, че техниките за замъгляване не се ограничават до групови скриптове, защо използването на BAT файлове в зловреден софтуер представлява уникален проблем.

С други думи, NodeJS файловете и Python скриптовете, които съдържат обикновен текстов код, а не двоични данни, могат да бъдат също толкова добре замъглени.

Хамънд отговори, „Вие сте напълно прави – може да е всеки файл или друг език на кода. Мисля, че най-интересният трик със скрипта BAT / cmd.exe е, че той е роден и присъщ на Windows операционна система, така че не се нуждае от външен компилатор или някакви други средства, за да накара кода да се изпълни. “

Освен това, изследователят ни каза, че тъй като всички символи в пакетния скрипт са ASCII печатни знаци, а не двоичен код, е по-лесно да се предаде скриптът по проводника, като същевременно се заобикаля проверката на антивирусните програми.

„И разбира се, тъй като всички знаци са ASCII отпечатващи се, този фрагмент може лесно да бъде изпратен по проводника и тъй като няма ярки “ лоши низове „или злонамерени сигнатури, EDR или AV програма може да го пренебрегне,“ каза изследователят.

Подробните идеи на Huntress Labs за техниката на замъгляване могат да бъдат намерени в техния доклад.

Подобрена версия на тази техника за замъгляване също е демонстрирана от Хамънд в YouTube.

https://www.youtube.com/watch?v=0RADvfJysuA

Източник: По материали от Интернет

Подобни публикации

24 януари 2025

Google ще инвестира още 1 милиард долара в Anth...

Google обяви, че планира да увеличи инвестициите си в Anthropic, сл...
24 януари 2025

DryRun набира 8,7 милиона долара начално финанс...

В сряда DryRun Security обяви, че е набрала 8,7 млн. долара в начал...
24 януари 2025

Новият Identity Check в Android заключва настро...

Google обяви нова функция за сигурност на Android „Проверка на само...
24 януари 2025

QNAP отстранява 6 уязвимости на Rsync в приложе...

QNAP е отстранила шест уязвимости в rsync, които могат да позволят ...
24 януари 2025

Инженер по ИИ е сред най-бързо развиващите се п...

Инженер по изкуствен интелект (ИИ) е сред най-търсените длъжности н...
24 януари 2025

Шефът на НАТО бърза с внедряването на ИИ във во...

Световният икономически форум предложи поглед към бъдещето – ...
24 януари 2025

Цялото население на Грузия е изложено на риск п...

База данни с милиони данни за грузински граждани се появява в облак...
24 януари 2025

Верижно свързани уязвимости на Ivanti в кибератаки

Кибератакистите използват нов вектор на заплаха, включващ няколко у...
24 януари 2025

Axoflow набира 7 млн. долара за платформа за ку...

Платформата за куриране на данни за сигурността Axoflow обяви в сря...
Бъдете социални
Още по темата
24/01/2025

QNAP отстранява 6 уязвимост...

QNAP е отстранила шест уязвимости в...
24/01/2025

Верижно свързани уязвимости...

Кибератакистите използват нов вектор на заплаха,...
23/01/2025

SonicWall научава от Micros...

В сряда SonicWall благодари на Microsoft,...
Последно добавени
24/01/2025

Google ще инвестира още 1 м...

Google обяви, че планира да увеличи...
24/01/2025

DryRun набира 8,7 милиона д...

В сряда DryRun Security обяви, че...
24/01/2025

Новият Identity Check в And...

Google обяви нова функция за сигурност...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!