Със 100-то издание на TrickBot, зловредният софтуер беше оборудван с нови и усъвършенствани възможности за избягване на откриването от софтуер за киберзащита. Една такава възможност е използването на скрит скрипт за стартиране на злонамерени изпълними файлове.
Фактът, че груповите скриптове не се нуждаят от интерпретатор, но вграденият команден ред на Microsoft Windows прави тази техника на избягване самостоятелна.
TrickBot разгръща рансъмуер чрез неясни BAT скриптове
TrickBot е инфекция със злонамерен софтуер, често инсталирана чрез злонамерени фишинг имейли или друг злонамерен софтуер. Когато е инсталиран, TrickBot тихо ще работи на компютъра на жертвата, докато изтегля други модули за изпълнение на различни задачи.
Известно е, че TrickBot завършва атака, като предоставя достъп на хакери, които разполагат или рансумуера Ryuk или Conti в компрометираната мрежа.
Наскоро изследователи от Huntress Labs откриха друга проба на TrickBot, която използва подобен пакетен скрипт с над 40 реда замъглени кодове.
Когато се дешифрира, всичко, което направи, беше стартирането на злонамерения софтуер, действие, което можеше да бъде задействано само от един ред код:
C: \ Users \ ksando.2HZ \ AppData \ Roaming \ Identities1603031315 \ ulib8b4.exe
Въпросният двоичен файл „ulib8b4.exe“ всъщност е полезният товар на TrickBot, който изпълнява широк спектър от злонамерени дейности, включително кражба на база данни на Active Directory Services на домейн, флангово разпространение в мрежа, блокиране на екрана, кражба на бисквитки и пароли на браузъра и кражба на OpenSSH ключове.
„Системните администратори често използват пакетни скриптове, за да улеснят живота си и да ускорят работния си процес“, казва Джон Хамънд, старши изследовател по сигурността в Huntress Labs.
“Но тъй като това предлага чудесен достъп до компютърната системахакерите и бандите, разпространяващи зловредния софтуер се възползват също така от .bat файловете.”
Хамънд отбелязва, че въпреки че антивирусните продукти могат лесно да сканират групови скриптове с обикновен текст, фактът, че нападателят е преминал през няколко стъпки, за да прикрие проста команда от един ред, би направил практически невъзможно разкриването за EDR или базиран на сигнатури антивирусен продукт за откриване на такива заплахи.
Освен това, откриването на сигнатура може да бъде избегнато, като се има предвид, че има различни начини, по които атакуващият може да замъгли един и същ полезен товар, като всеки произвежда разлимчна сигнатура.
“На пръв поглед този код е напълно неразбираем. Изглежда като случайни букви в произволен ред, с произволни знаци за проценти, хвърлени навсякъде. Но cmd.exe ще го интерпретира и изпълни, а зловредният софтуер ще бъде изпитан и истински вграден в системата “, каза Хамънд.
Защо скритите партидни скриптове представляват уникален проблем?
Журналисти попитаха Хамънд, като се има предвид, че техниките за замъгляване не се ограничават до групови скриптове, защо използването на BAT файлове в зловреден софтуер представлява уникален проблем.
С други думи, NodeJS файловете и Python скриптовете, които съдържат обикновен текстов код, а не двоични данни, могат да бъдат също толкова добре замъглени.
Хамънд отговори, “Вие сте напълно прави – може да е всеки файл или друг език на кода. Мисля, че най-интересният трик със скрипта BAT / cmd.exe е, че той е роден и присъщ на Windows операционна система, така че не се нуждае от външен компилатор или някакви други средства, за да накара кода да се изпълни. ”
Освен това, изследователят ни каза, че тъй като всички символи в пакетния скрипт са ASCII печатни знаци, а не двоичен код, е по-лесно да се предаде скриптът по проводника, като същевременно се заобикаля проверката на антивирусните програми.
“И разбира се, тъй като всички знаци са ASCII отпечатващи се, този фрагмент може лесно да бъде изпратен по проводника и тъй като няма ярки ” лоши низове “или злонамерени сигнатури, EDR или AV програма може да го пренебрегне,” каза изследователят.
Подробните идеи на Huntress Labs за техниката на замъгляване могат да бъдат намерени в техния доклад.
Подобрена версия на тази техника за замъгляване също е демонстрирана от Хамънд в YouTube.
По материали от интернет
