Зачем любить, зачем страдать, если можно BAT-вирус написать — Batloader
Заходишь такой в поисковик, будь то Google или тот же Yandex, ищешь информацию о том, как взломать Пенгагон и тут видишь это:
Понимаешь, что именно это тебе и было нужно, заходишь на сайт, качаешь утилиту под эгидой “Ну это же мне посоветовал сам Google, как же там может быть вирус”, устанавливаешь, а компьютер такой:
И если ты абсолютно несведущая личность в области информационной безопасности, тебя привел сюда тот же поисковик, а твои знания и умения ограничены просмотром кода элемента через браузер, ровно как и у меня, то у тебя возникнет вопрос, а что произошло? Якобы почему Google решил нарушить целостность моего… Отверстия.
Дорогой мой, поисковик здесь не виноват, напротив на протяжении последних трех-четырех лет ведется активная борьба с сие напастью, это отравление поисковой выдачи, выражаясь более модно — Seo Poisoning. И будь уверен, не только твою целостность это нарушило. Ты не одинок.
SEO poisoning (отравление поисковой выдачи, или же отравление SEO) — это метод злоумышленников, цель которого — воздействие на поисковые результаты, чтобы привлечь пользователей на вредоносные или мошеннические веб-сайты. Злоумышленники могут использовать различные методы, такие как внедрение зловредного контента на легитимные сайты, создание фальшивых веб-страниц, загрузка зловредного кода на сайты или даже манипуляция поисковыми запросами, чтобы привлечь пользователей на их страницы.
Этот вид атаки может быть использован для распространения вредоносного программного обеспечения, кражи личной информации или финансовых мошенничеств.
На сегодняшний день SEO Poisoning остается одним из наиболее распространенных методов распространения вредоносного программного обеспечения в онлайн-среде. Примером этого являются случаи с шифровальщиком Magnibar или инжектором DotRunPex, которые использовали аналогичные тактики и о них мы ещё поговорим в будущих статьях.
Начиная с конца 2019 года, злоумышленники стали активно приобретать рекламные места на Google для популярных ключевых слов и их ошибочных вариантов. Это сделало SEO Poisoning одним из наиболее распространенных методов распространения вредоносного программного обеспечения уже в 2022 году.
А согласно отчету лаборатории Blue Coat, в 2023 году 40% всех кибератак были осуществлены через отравление результатов поиска или Google ADS. И поверьте, это огромное количество.
Ну и сегодня, мы разберемся с одним примитивным вредоносом, наверное, мечтой любого школьника конца нулевых, который распространяется исключительно через SEO. Batloader в студии. А с этого момента нам понадобится дисклеймер, сами знаете, защита отверстия превыше всего:
Дисклеймер
На самом деле я против зла и то, что я покажу вам далее, может быть, практически применено различного рода антагонистами. Сразу предупреждаю, что я, как автор этой писанины , снимаю с себя ответственность за то с каким умыслом будет использована эта информация дальше. Виноват только и только тот, кто применяет знания, но не тот, кто ими делится. Автор лишь преследует благие цели, используя способы и пути злоумышленников, раскрывает суть преступного механизма, открывая людям глаза, демонстрируя способы защиты, ведь лучший протект - это знания.
Batloader — историческая сводка
Если ты уже пишешь свой гневный комментарий, что автор словил шизу и серьёзно намерен анализировать какой-то там .bat вирус, то обожди, а вообще… Ты прав, я собираюсь это сделать.
Батлоадер — это современный инструмент, который очень даже востребован на подпольных форумах, используется для доставки вторичных вредоносных программ, в основном стиллеров, таких как Vidar, Amadey и Ursnif. Однако иногда им также могут доставляться и шифровальщики, но крайне редко.
Исследования компании eSentire показывают, что Батлоадер скрывается за разнообразными легитимными приложениями и сервисами, такими как Adobe, OpenAPI, Spotify, Tableau, Zoom, CCleaner, Putty, uTorrent, WinRAR, Java, TeamViewer и Python. Это делает этот вредоносный инструмент потенциально опасным как для обычных пользователей, так и для разработчиков.
Обнаружен сие зловред был в конце 2021 года, но при более глубоком изучении его истории, можно понять, что создан был он гораздо раньше и, как минимум, на протяжении нескольких лет безнаказанно доставлял всё, что только можно было. Возможно из-за того, что все привыкли, что в обычных .bat файлах нет особой угрозы: перезапустит кудахтер, сменит раскладку или включит инверсию на движение мышки.
Середина 2022 года принесла много чего нового, в том числе и первое массовое боевое крещение Батлоадера в ходе массового распространения стиллеров, это событие даже удостоилось отдельной статьи на Вики. Эпидемия Water Minyades, подробнее можете почитать
Ссылка скрыта от гостей
.Конец 2022 - начало 2023 года Батлоадер используется обхода исправления уязвимости CVE-2020-1599.
CVE-2020-1599, известная как "Криптографическая уязвимость в Windows Remote Desktop Gateway (RD Gateway)" или "BlueGate", была обнаружена и исправлена в январе 2020 года. Эта уязвимость открывает путь для злоумышленников, позволяя им выполнять специальные запросы и обходить проверки подлинности, что в конечном итоге может привести к выполнению произвольного кода на сервере RD Gateway. Успешная атака предоставляет злоумышленнику полный контроль над сервером и возможность взаимодействия с удаленными системами, доступ к которым осуществляется через RD Gateway. Подробнее
Ссылка скрыта от гостей
.И Батлоадер используется по сей день, что самое удивительное. Он не является чем-то гениальным, но из-за своей простоты всегда находит целевого клиента. В подтверждение привожу вот этот скриншот, на котором показано стабильное появление новых сэмплов вредоноса в сети.
Batloader — краткий статистический анализ
Для сие манипуляций мы будем использовать следующий набор инструментов, уточню, что я не профессиональный реверс-инженер и все делаю методом проб и ошибок:
- DIE — Detect it Easy: многофункциональный инструмент, имеющий просто огромный арсенал. Позволит нам опередить тип компилятора вредоноса, язык, библиотеки и таблицы импорта/экспорта с последующим дизассемблированием.
- PE Bear — неплохой инструмент для просмотра и редактирования составляющих PE файла.
- Tiny Tracer — утилита для динамического отслеживания исполнения бинарных элементов. Так называемый трейсер.
- IDA PRO — инструмент для реверс-инжиниринга.
- Reko — декомпилятор, который в 90% случаев бесполезный.
- HollowHunter — утилита, которая распознает и сбрасывает множество потенциально вредоносных имплантов (замененные/имплантированные PE, шелл-коды, перехватчики, патчи в памяти).
Уже по традиции, сперва выгрузим образец на VirusTotal, и видим удручающую картину:
Почему? Касперский, ESET и Доктор Веб, вообще не понял почему вы не видите здесь вредоноса, но окей.
Визуально: 2.4 МБ веса, типичная маскировка под установщик 7zip и ничего более, воспользуемся DIE для получения более подробной информации.
DIE в этом нам не особо поможет, разве что определить дату компиляции - 01.03.2024, но не более. Решение напрашивается само собой, .msi по сути своей те же архивы, то есть мы можем их вскрыть и посмотреть содержимое.
Binary.PowerShellScriptLauncher.dll — именно ты нам и нужен, думаю, что с названия нетрудно понять, что именно этот компонент отвечает запуск вторичной полезной нагрузки. DIE покажет нам исчерпывающую информацию, что это 32-битный, LE исполняемый файл, который был скомпилирован в далеком 2020 году, но я склонен считать, что это TimeStomping и реальная дата компиляции не такова. Написан .dll у нас на C, также имеет цифровую подпись.
Также можем обратить внимание на наличие Binary.SoftwareDetector.dll, скорее всего он служит инструментом для обнаружения каких-либо потенциально опасных приложений для вредоноса. Типа виртуальной среды исполнения, всяких трейсеров и так далее. Он нас особо не интересует, самое важное сейчас найти что же именно запускает PowerShellScriptLauncher.
Ответ долго искать не пришлось, ведь PEStudio выдает нам следующее:
Из этого можно установить следующую цепочку действий:
- Первичный .msi сразу после запуска распаковывает два файла в директорию /TEMP: run_me.bat и getamin.vbs.
- А после инициирует работу PowerShellScriptLauncher.dll, который и запускает run_me.bat.
Run_me.bat — неужели вы думали, что это конец?
Конечно же нет, этот скрипт можно рассматривать исключительно как вторичную полезную нагрузку и единственный задачей этого чуда является.. Правильно, загрузить новое чудо на устройство жертвы.
Run_me по сути имеет лишь несколько строчек, которые выглядят следующим образом:
И именно здесь стоит отметить главную фичу вот этого вредоноса, ни Run_me.bat, ни последующие ступени никак не расцениваются антивирусами, как угроза. Они попросту считают этот файл безопасным, хотя он по своей сути загружает и запускает вирусы.
Переходим к Update.bat, здесь уже все немного более интересно…
Продолжение следует.
Краткие выводы к первой части
Как видите, преимущества Батлоадера уже всплыли - плохой показатель обнаруживаемости. Для злоумышленников это бесспорно плюс, но вот для обычных пользователей… В любом случае, вторая часть выйдет совсем скоро. Не теряйте, ваш Deathday.
Последнее редактирование:
