TRICKBOT АТАКУВА ПРЕЗ СКРИПТ НА WINDOWS

Със 100-то издание на TrickBot, зловредният софтуер беше оборудван с нови и усъвършенствани възможности за избягване на откриването от софтуер за киберзащита. Една такава възможност е използването на скрит скрипт за стартиране на злонамерени изпълними файлове.

Фактът, че груповите скриптове не се нуждаят от интерпретатор, но вграденият команден ред на Microsoft Windows прави тази техника на избягване самостоятелна.

TrickBot разгръща рансъмуер чрез неясни BAT скриптове

TrickBot е инфекция със злонамерен софтуер, често инсталирана чрез злонамерени фишинг имейли или друг злонамерен софтуер. Когато е инсталиран, TrickBot тихо ще работи на компютъра на жертвата, докато изтегля други модули за изпълнение на различни задачи.

Известно е, че TrickBot завършва атака, като предоставя достъп на хакери, които разполагат или рансумуера Ryuk или Conti в компрометираната мрежа.

Наскоро изследователи от Huntress Labs откриха друга проба на TrickBot, която използва подобен пакетен скрипт с над 40 реда замъглени кодове.

Когато се дешифрира, всичко, което направи, беше стартирането на злонамерения софтуер, действие, което можеше да бъде задействано само от един ред код:

 C:Usersksando.2HZAppDataRoamingIdentities1603031315ulib8b4.exe

Въпросният двоичен файл „ulib8b4.exe“ всъщност е полезният товар на TrickBot, който изпълнява широк спектър от злонамерени дейности, включително кражба на база данни на Active Directory Services на домейн, флангово разпространение в мрежа, блокиране на екрана, кражба на бисквитки и пароли на браузъра и кражба на OpenSSH ключове.

„Системните администратори често използват пакетни скриптове, за да улеснят живота си и да ускорят работния си процес“, казва Джон Хамънд, старши изследовател по сигурността в Huntress Labs.

„Но тъй като това предлага чудесен достъп до компютърната системахакерите и бандите, разпространяващи  зловредния софтуер се възползват също така от .bat файловете.“

Хамънд отбелязва, че въпреки че антивирусните продукти могат лесно да сканират групови скриптове с обикновен текст, фактът, че нападателят е преминал през няколко стъпки, за да прикрие проста команда от един ред, би направил практически невъзможно разкриването за EDR или базиран на сигнатури антивирусен продукт за откриване на такива заплахи.

Освен това, откриването на сигнатура може да бъде избегнато, като се има предвид, че има различни начини, по които атакуващият може да замъгли един и същ полезен товар, като всеки произвежда разлимчна сигнатура.

„На пръв поглед този код е напълно неразбираем. Изглежда като случайни букви в произволен ред, с произволни знаци за проценти, хвърлени навсякъде. Но cmd.exe ще го интерпретира и изпълни, а зловредният софтуер ще бъде  изпитан и истински вграден в системата „, каза Хамънд.

Защо скритите партидни скриптове представляват уникален проблем?

Журналисти попитаха Хамънд, като се има предвид, че техниките за замъгляване не се ограничават до групови скриптове, защо използването на BAT файлове в зловреден софтуер представлява уникален проблем.

С други думи, NodeJS файловете и Python скриптовете, които съдържат обикновен текстов код, а не двоични данни, могат да бъдат също толкова добре замъглени.

Хамънд отговори, „Вие сте напълно прави – може да е всеки файл или друг език на кода. Мисля, че най-интересният трик със скрипта BAT / cmd.exe е, че той е роден и присъщ на Windows операционна система, така че не се нуждае от външен компилатор или някакви други средства, за да накара кода да се изпълни. “

Освен това, изследователят ни каза, че тъй като всички символи в пакетния скрипт са ASCII печатни знаци, а не двоичен код, е по-лесно да се предаде скриптът по проводника, като същевременно се заобикаля проверката на антивирусните програми.

„И разбира се, тъй като всички знаци са ASCII отпечатващи се, този фрагмент може лесно да бъде изпратен по проводника и тъй като няма ярки “ лоши низове „или злонамерени сигнатури, EDR или AV програма може да го пренебрегне,“ каза изследователят.

Подробните идеи на Huntress Labs за техниката на замъгляване могат да бъдат намерени в техния доклад.

Подобрена версия на тази техника за замъгляване също е демонстрирана от Хамънд в YouTube.

https://www.youtube.com/watch?v=0RADvfJysuA

Източник: По материали от Интернет

Подобни публикации

27 септември 2023

Нов ZeroFont фишинг подвежда Outlook да показва...

Хакерите използват нов трик за използване на нулеви шрифтове в имей...
27 септември 2023

Google присвоява нов максимален рейтинг CVE на ...

Google е определила нов CVE ID (CVE-2023-5129) за уязвимостта в сиг...
27 септември 2023

Нова киберпрестъпна група е свързана със 7 фам...

Експерти по киберсигурност разкриха нова група за киберпрестъпления...
27 септември 2023

Microsoft разпространява Passkeys в Windows 11

Днес Microsoft официално въвежда поддръжка на клавишите passskeys в...
27 септември 2023

Излязоха резултатите от оценката на MITRE ATT&a...

Задълбочените, независими тестове са жизненоважен ресурс за анализи...
26 септември 2023

WatchGuard получи най-високото признание

WatchGuard е обявена за лидер в последния доклад на G2 Grid и е отл...
26 септември 2023

WatchGuard с награда за отлични постижения в об...

Имаме удоволствието да споделим, че WatchGuard е обявена за победит...
26 септември 2023

Рансъмуерът Akira мутира и се насочва към систе...

Откакто се появи като заплаха през март, рансъмуерът Arika продължи...
Бъдете социални
Още по темата
19/09/2023

Смятате, че вашите решения ...

Когато въвеждате продукт за сигурност, предполагате,...
19/09/2023

Хакването на полицията на М...

Хиляди данни за служителите на полицията...
15/09/2023

Международен ден на самолич...

Този блог е различен от тези,...
Последно добавени
27/09/2023

Нов ZeroFont фишинг подвежд...

Хакерите използват нов трик за използване...
27/09/2023

Google присвоява нов максим...

Google е определила нов CVE ID...
27/09/2023

Нова киберпрестъпна група е...

Експерти по киберсигурност разкриха нова група...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!