Със 100-то издание на TrickBot, зловредният софтуер беше оборудван с нови и усъвършенствани възможности за избягване на откриването от софтуер за киберзащита. Една такава възможност е използването на скрит скрипт за стартиране на злонамерени изпълними файлове.

Фактът, че груповите скриптове не се нуждаят от интерпретатор, но вграденият команден ред на Microsoft Windows прави тази техника на избягване самостоятелна.

TrickBot разгръща рансъмуер чрез неясни BAT скриптове

TrickBot е инфекция със злонамерен софтуер, често инсталирана чрез злонамерени фишинг имейли или друг злонамерен софтуер. Когато е инсталиран, TrickBot тихо ще работи на компютъра на жертвата, докато изтегля други модули за изпълнение на различни задачи.

Известно е, че TrickBot завършва атака, като предоставя достъп на хакери, които разполагат или рансумуера Ryuk или Conti в компрометираната мрежа.

Наскоро изследователи от Huntress Labs откриха друга проба на TrickBot, която използва подобен пакетен скрипт с над 40 реда замъглени кодове.

Когато се дешифрира, всичко, което направи, беше стартирането на злонамерения софтуер, действие, което можеше да бъде задействано само от един ред код:

 C:Usersksando.2HZAppDataRoamingIdentities1603031315ulib8b4.exe

Въпросният двоичен файл „ulib8b4.exe“ всъщност е полезният товар на TrickBot, който изпълнява широк спектър от злонамерени дейности, включително кражба на база данни на Active Directory Services на домейн, флангово разпространение в мрежа, блокиране на екрана, кражба на бисквитки и пароли на браузъра и кражба на OpenSSH ключове.

„Системните администратори често използват пакетни скриптове, за да улеснят живота си и да ускорят работния си процес“, казва Джон Хамънд, старши изследовател по сигурността в Huntress Labs.

„Но тъй като това предлага чудесен достъп до компютърната системахакерите и бандите, разпространяващи  зловредния софтуер се възползват също така от .bat файловете.“

Хамънд отбелязва, че въпреки че антивирусните продукти могат лесно да сканират групови скриптове с обикновен текст, фактът, че нападателят е преминал през няколко стъпки, за да прикрие проста команда от един ред, би направил практически невъзможно разкриването за EDR или базиран на сигнатури антивирусен продукт за откриване на такива заплахи.

Освен това, откриването на сигнатура може да бъде избегнато, като се има предвид, че има различни начини, по които атакуващият може да замъгли един и същ полезен товар, като всеки произвежда разлимчна сигнатура.

„На пръв поглед този код е напълно неразбираем. Изглежда като случайни букви в произволен ред, с произволни знаци за проценти, хвърлени навсякъде. Но cmd.exe ще го интерпретира и изпълни, а зловредният софтуер ще бъде  изпитан и истински вграден в системата „, каза Хамънд.

Защо скритите партидни скриптове представляват уникален проблем?

Журналисти попитаха Хамънд, като се има предвид, че техниките за замъгляване не се ограничават до групови скриптове, защо използването на BAT файлове в зловреден софтуер представлява уникален проблем.

С други думи, NodeJS файловете и Python скриптовете, които съдържат обикновен текстов код, а не двоични данни, могат да бъдат също толкова добре замъглени.

Хамънд отговори, „Вие сте напълно прави – може да е всеки файл или друг език на кода. Мисля, че най-интересният трик със скрипта BAT / cmd.exe е, че той е роден и присъщ на Windows операционна система, така че не се нуждае от външен компилатор или някакви други средства, за да накара кода да се изпълни. “

Освен това, изследователят ни каза, че тъй като всички символи в пакетния скрипт са ASCII печатни знаци, а не двоичен код, е по-лесно да се предаде скриптът по проводника, като същевременно се заобикаля проверката на антивирусните програми.

„И разбира се, тъй като всички знаци са ASCII отпечатващи се, този фрагмент може лесно да бъде изпратен по проводника и тъй като няма ярки “ лоши низове „или злонамерени сигнатури, EDR или AV програма може да го пренебрегне,“ каза изследователят.

Подробните идеи на Huntress Labs за техниката на замъгляване могат да бъдат намерени в техния доклад.

Подобрена версия на тази техника за замъгляване също е демонстрирана от Хамънд в YouTube.

https://www.youtube.com/watch?v=0RADvfJysuA

Източник: По материали от Интернет
Share on facebook
Share on twitter
Share on linkedin
Share on google
Share on email

Подобни публикации

15 януари 2022

НАД 1.7 МЛН СЕКРЕТНИ ДОКУМЕНТА НА ПОЛСКАТА АРМИ...

Над 1,7 милиона класифицирани документа, свързани с всички аспекти ...
14 януари 2022

КАКВО ПРЕСТАВЛЯВАТ КВАНТОВИТЕ ИЗЧИСЛЕНИЯ

Като част от плановете си след Brexit, премиерът Борис Джонсън обяв...
8 януари 2022

КАК ДА СЕ ПРЕДПАЗИТЕ ОТ ХАКВАНЕ ПРЕЗ НОВАТА ГОДИНА

Целите, които си поставяте за  за Новата година са високи! Една от ...
7 януари 2022

ХАКЕРИ ИЗПОЛЗВАТ ВИДЕОПЛЕЙЪР, ЗА ДА КРАДАТ КРЕД...

Хакери използваха облачна видео хостинг услуга, за да извършат атак...
24 декември 2021

7 КОЛЕДНИ ИЗМАМИ

Коледа би трябвало да е време на радост и доброта, но за съжаление ...
23 декември 2021

РАЗРАБОТЧИЦИТЕ НА ВАКСИНИ СРЕЩУ COVID СА ПОДЛОЖ...

Вече повече от година, производителите на продукти за киберсигурнос...
17 декември 2021

EVIL TWIN ATTACK - КАКВО ПРЕДСТАВЛЯВА

Evil Twin Attack  е кибератака за измама, която работи, като подмам...
13 декември 2021

БРИТАНСКИ УЧИТЕЛИ ПОДЛОЖЕНИ НА ТОРМОЗ В TikTok ...

Учителите в Обединеното кралство съобщиха за тревожна нова тенденци...

Мнения и коментари

(0.0)
0.0/5
{{ reviewsTotal }} Review
{{ reviewsTotal }} Reviews
{{ options.labels.newReviewButton }}
{{ userData.canReview.message }}
Бъдете социални
Share on facebook
Share on twitter
Share on linkedin
Share on google
Share on email
Още по темата
24/11/2021

EXCHANGE СЪРВЪРИТЕ ОТНОВО П...

След приключването на изданията на конференциите...
01/11/2021

МОЖЕ ЛИ ДА БЪДЕТЕ ОБРАНИ ПР...

Изследователи по сигурността откриха нова вратичка...
28/10/2021

КИТАЙСКИ ХАКЕРИ КОМПРОМЕТИР...

Много клетъчни мрежови протоколи нямат ясна...
Последно добавени
15/01/2022

НАД 1.7 МЛН СЕКРЕТНИ ДОКУМЕ...

Над 1,7 милиона класифицирани документа, свързани...
14/01/2022

КАКВО ПРЕСТАВЛЯВАТ КВАНТОВИ...

Като част от плановете си след...
08/01/2022

КАК ДА СЕ ПРЕДПАЗИТЕ ОТ ХАК...

Целите, които си поставяте за  за...
Ключови думи