Със 100-то издание на TrickBot, зловредният софтуер беше оборудван с нови и усъвършенствани възможности за избягване на откриването от софтуер за киберзащита. Една такава възможност е използването на скрит скрипт за стартиране на злонамерени изпълними файлове.

Фактът, че груповите скриптове не се нуждаят от интерпретатор, но вграденият команден ред на Microsoft Windows прави тази техника на избягване самостоятелна.

TrickBot разгръща рансъмуер чрез неясни BAT скриптове

TrickBot е инфекция със злонамерен софтуер, често инсталирана чрез злонамерени фишинг имейли или друг злонамерен софтуер. Когато е инсталиран, TrickBot тихо ще работи на компютъра на жертвата, докато изтегля други модули за изпълнение на различни задачи.

Известно е, че TrickBot завършва атака, като предоставя достъп на хакери, които разполагат или рансумуера Ryuk или Conti в компрометираната мрежа.

Наскоро изследователи от Huntress Labs откриха друга проба на TrickBot, която използва подобен пакетен скрипт с над 40 реда замъглени кодове.

Когато се дешифрира, всичко, което направи, беше стартирането на злонамерения софтуер, действие, което можеше да бъде задействано само от един ред код:

 C:Usersksando.2HZAppDataRoamingIdentities1603031315ulib8b4.exe

Въпросният двоичен файл „ulib8b4.exe“ всъщност е полезният товар на TrickBot, който изпълнява широк спектър от злонамерени дейности, включително кражба на база данни на Active Directory Services на домейн, флангово разпространение в мрежа, блокиране на екрана, кражба на бисквитки и пароли на браузъра и кражба на OpenSSH ключове.

„Системните администратори често използват пакетни скриптове, за да улеснят живота си и да ускорят работния си процес“, казва Джон Хамънд, старши изследовател по сигурността в Huntress Labs.

„Но тъй като това предлага чудесен достъп до компютърната системахакерите и бандите, разпространяващи  зловредния софтуер се възползват също така от .bat файловете.“

Хамънд отбелязва, че въпреки че антивирусните продукти могат лесно да сканират групови скриптове с обикновен текст, фактът, че нападателят е преминал през няколко стъпки, за да прикрие проста команда от един ред, би направил практически невъзможно разкриването за EDR или базиран на сигнатури антивирусен продукт за откриване на такива заплахи.

Освен това, откриването на сигнатура може да бъде избегнато, като се има предвид, че има различни начини, по които атакуващият може да замъгли един и същ полезен товар, като всеки произвежда разлимчна сигнатура.

„На пръв поглед този код е напълно неразбираем. Изглежда като случайни букви в произволен ред, с произволни знаци за проценти, хвърлени навсякъде. Но cmd.exe ще го интерпретира и изпълни, а зловредният софтуер ще бъде  изпитан и истински вграден в системата „, каза Хамънд.

Защо скритите партидни скриптове представляват уникален проблем?

Журналисти попитаха Хамънд, като се има предвид, че техниките за замъгляване не се ограничават до групови скриптове, защо използването на BAT файлове в зловреден софтуер представлява уникален проблем.

С други думи, NodeJS файловете и Python скриптовете, които съдържат обикновен текстов код, а не двоични данни, могат да бъдат също толкова добре замъглени.

Хамънд отговори, „Вие сте напълно прави – може да е всеки файл или друг език на кода. Мисля, че най-интересният трик със скрипта BAT / cmd.exe е, че той е роден и присъщ на Windows операционна система, така че не се нуждае от външен компилатор или някакви други средства, за да накара кода да се изпълни. “

Освен това, изследователят ни каза, че тъй като всички символи в пакетния скрипт са ASCII печатни знаци, а не двоичен код, е по-лесно да се предаде скриптът по проводника, като същевременно се заобикаля проверката на антивирусните програми.

„И разбира се, тъй като всички знаци са ASCII отпечатващи се, този фрагмент може лесно да бъде изпратен по проводника и тъй като няма ярки “ лоши низове „или злонамерени сигнатури, EDR или AV програма може да го пренебрегне,“ каза изследователят.

Подробните идеи на Huntress Labs за техниката на замъгляване могат да бъдат намерени в техния доклад.

Подобрена версия на тази техника за замъгляване също е демонстрирана от Хамънд в YouTube.

https://www.youtube.com/watch?v=0RADvfJysuA

Източник: По материали от Интернет

Подобни публикации

22 май 2025

Руската хакерска група APT28 шпионира междунаро...

Мащабна кибершпионска кампания, провеждана от подкрепяната от руска...
22 май 2025

Русия въвежда задължително приложение за просле...

В началото на май 2025 г. руското правителство обяви ново законодат...
22 май 2025

3 a.m. рансъмуер: нова вълна от таргетирани ат...

През първото тримесечие на 2025 г. специалисти по киберсигурност от...
22 май 2025

Mеждународна операция унищожи инфраструктурата ...

Microsoft, правоприлагащи органи и водещи технологични компании с к...
22 май 2025

ЕС наложи санкции на Stark Industries заради ру...

Европейският съюз официално наложи строги санкции на хостинг достав...
21 май 2025

M&S очаква загуби от над £300 милиона след ...

Британската търговска верига Marks & Spencer (M&S) се изпра...
Бъдете социални
Още по темата
21/05/2025

19-годишен студент се призн...

Американският департамент по правосъдието (DOJ) обяви,...
21/05/2025

Cellcom потвърди: Кибератак...

След дни на мълчание, компанията разкри,...
21/05/2025

SK Telecom разкри, че мащаб...

Зловреден код, внедрен през 2022 г.,...
Последно добавени
22/05/2025

Руската хакерска група APT2...

Мащабна кибершпионска кампания, провеждана от подкрепяната...
22/05/2025

Русия въвежда задължително ...

В началото на май 2025 г....
22/05/2025

3 a.m. рансъмуер: нова въл...

През първото тримесечие на 2025 г....
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!