31.03.22
Аналитики угроз обнаружили новую технику запутывания, используемую бандой вымогателей Hive, которая использует адреса IPv4 и серию преобразований, которые в конечном итоге приводят к загрузке маяка Cobalt Strike.
Обфускация кода — это то, что помогает злоумышленникам скрыть вредоносный характер своего кода от проверяющих или программного обеспечения безопасности, чтобы они могли избежать обнаружения.
Существует множество способов запутывания, каждый из которых имеет свои плюсы и минусы, но новый, обнаруженный в ответ на инцидент с вымогателем Hive, показывает, что злоумышленники находят новые, более незаметные способы достижения своей цели.
Аналитики Sentinel Labs сообщают о новом методе запутывания, который они называют «IPfuscation», и который является еще одним примером того, насколько эффективными могут быть простые, но интеллектуальные методы при развертывании вредоносных программ в реальном мире.
От IP к шеллкоду
Аналитики обнаружили новую технику при анализе 64-разрядных исполняемых файлов Windows, каждый из которых содержит полезную нагрузку, доставляющую Cobalt Strike.Сама полезная нагрузка запутывается, принимая форму массива адресов ASCII IPv4, поэтому она выглядит как безобидный список IP-адресов.
В контексте анализа вредоносных программ этот список может даже быть ошибочно принят за жестко закодированную информацию о связи C2.
Список адресов IPv4, которые будут собирать полезную нагрузку
( Sentinel Labs)
Когда файл передается функции преобразования ( ip2string.h ), которая переводит строку в двоичный код, появляется сгусток шелл-кода.
После завершения этого шага вредоносное ПО выполняет шелл-код либо через прямые вызовы SYSCALL, либо через прокси-выполнение через обратный вызов в перечислителе языка пользовательского интерфейса ( winnls.h ), что приводит к стандартному этапу Cobalt Strike.
Вот пример из отчета Sentinel Labs:
Первая жестко закодированная строка в формате IP — это строка ASCII «252.72.131.228», которая имеет двоичное представление 0xE48348FC (обратный порядок байтов), а следующий «IP», который нужно перевести, — «240.232.200.0», который имеет двоичное представление 0xC8E8F0.
Разборка этих «двоичных представлений» показывает начало шелл-кода, сгенерированного распространенными средами тестирования на проникновение.
Полученный шеллкод с двух IP-адресов
(Sentinel Labs)
Аналитики обнаружили дополнительные варианты IPfuscation, в которых вместо адресов IPv4 используются IPv6, UUID и MAC-адреса, и все они работают почти так же, как мы описали выше.
Деобфускированные строки, образующие стадию Cobalt Strike
(Sentinel Labs)
Вывод из этого заключается в том, что в наши дни недостаточно полагаться исключительно на статические сигнатуры для обнаружения вредоносной полезной нагрузки.
Исследователи говорят, что обнаружение поведения, анализ с помощью ИИ и целостная защита конечных точек, которая объединяет подозрительные элементы из нескольких точек, будут иметь больше шансов поднять крышку IPfuscation.
BLEEPING COMUTER