Phần mềm độc hại Fileless ẩn trong các nhật ký sự kiện của Windows

Theo báo cáo nghiên cứu mới được công bố, Kaspersky cho biết giai đoạn đầu tiên của chiến dịch bắt đầu vào khoảng tháng 9/2021 với việc tác nhân đe dọa lừa cho nạn nhân tải xuống module Cobalt Strike được ký số.

Theo các nhà nghiên cứu bảo mật của Kaspersky, việc sử dụng các nhật ký sự kiện để lưu trữ phần mềm độc hại là một kỹ thuật trước đây chưa từng có trong các cuộc tấn công bằng phần mềm độc hại.

Những cuộc tấn công này có thể là do các tác nhân mới xuất hiện. Nó ẩn dưới "nhiệm vụ" vá các tính năng API gốc của Windows liên quan đến theo dõi sự kiện và giao diện quét chống phần mềm độc hại để âm thầm lây nhiễm.

Trên thực tế, những kẻ tấn công rõ ràng đã đầu tư vào việc tránh bị phát hiện, chúng sử dụng các tên miền giống với tên miền hợp pháp, sử dụng các máy chủ riêng ảo để lưu trữ và sử dụng nhiều bộ giải mã chống phát hiện. Quan sát cho thấy các trình biên dịch có phạm vi từ cl.exe của Microsoft đến phiên bản Go (phiên bản tối ưu dành cho điện thoại thông minh) mới đây.

Theo Kaspersky, dường như, những kẻ tấn công ký một số tệp độc hại bằng chữ ký số do chúng tạo ra. Về mặt công cụ, chúng sử dụng Cobalt Strike, NetSPI (một phần khung (framework) của SilentBreak), các module tùy chỉnh khác nhau và mã bổ sung của bên thứ ba.

Danh mục chống phát hiện của tác nhân đe dọa bao gồm MSVC (Microsoft Visual C++), bộ trình biên dịch GCC theo MinGW (một phần mềm mã nguồn mở) và trình biên dịch Go 1.17.2; Trình khởi chạy trong danh sách trắng, chứng chỉ số, bộ nhỏ giọt Go (một loại phần mềm độc hại được phát triển để virus ra mắt bằng cách "thả" (cài đặt)) để vá các tính năng API liên quan đến ghi nhật ký và lưu trữ phần mềm độc hại ở giai đoạn cuối trong phần nhị phân của nhật ký sự kiện, được chia nhỏ thành các khối 8 KB.

Ngoài ra, Kaspersky còn phát hiện ra các tên hàm trong gói chính đã bị xáo trộn. Trojan giai đoạn cuối giao tiếp với máy chủ lệnh và điều khiển (C&C) bằng cách sử dụng HTTP với mã hóa RC4 hoặc bằng cách kết nối không được mã hóa với các đường hầm đã được đặt tên.

Kaspersky cho biết: "Chúng có thể kết nối với bất kỳ máy chủ bên ngoài nào trong hệ thống mạng nhưng trong các đường hầm có tên Windows được xây dựng dựa trên giao thức SMB. Giao thức này hầu như không mở cho các mạng bên ngoài nên những module chỉ có thể di chuyển xung quanh mạng này".

Khi thực thi, HTTP Trojan sẽ lấy dấu vân tay của hệ thống bị nhiễm và gửi dữ liệu đến máy chủ nếu lần ping (xác định gói dữ liệu truyền) ban đầu tới máy chủ thành công.

Phần mềm độc hại hỗ trợ các lệnh để lấy dấu vân tay hệ thống, thực hiện các lệnh đã nhận, tải xuống và lưu tải trọng, liệt kê các quy trình, đưa mã vào các quy trình đích, "ngủ" trong một khoảng thời gian cụ thể và kết thúc phiên bằng máy chủ điều khiển bằng lệnh từ xa (C&C)./.