Исследования LevelBlue Labs
Исследователи из LevelBlue Labs недавно выявили изощренную новую тактику, используемую злоумышленниками для эксплуатации легитимного антивирусного программного обеспечения в злонамеренных целях. Этот метод включает инструмент под названием SbaProxy, который умело маскируется под легитимный компонент антивируса, позволяя устанавливать прокси-соединения через сервер команд и управления (C&C).
SbaProxy представляет собой продвинутое дополнение к арсеналу киберпреступников, способное создавать прокси-соединения, которые можно монетизировать. Его распространение происходит в различных форматах, включая DLL, EXE и PowerShell скрипты, что делает его особенно трудным для обнаружения из-за его кажущегося легитимного вида и сложного дизайна.
Модификация Антивирусных Бинарных Файлов
В поразительном развитии событий эти злоумышленники начали модифицировать подлинные антивирусные бинарные файлы для злонамеренных целей, сохраняя при этом их вид как безобидного программного обеспечения. Эта тактика усложняет усилия по обнаружению, так как измененные бинарные файлы часто подписываются действительными или убедительно действительными сертификатами, что позволяет им проходить проверки безопасности. Среди известных антивирусных продуктов, нацеленных в этой кампании, можно выделить Malwarebytes, BitDefender и продукты APEX.
Одним из примеров такого обмана является сертификат с отпечатком "DCB42EF087633803CD17C0CD6C491D522B8A2A", выданный "STERLING LIMITED". Этот сертификат остается действительным и был использован для подписания нескольких образцов, связанных с текущей кампанией, что говорит о том, что злоумышленник приобрел его для облегчения своих операций, так как дата выдачи совпадает с временными рамками кампании.
Технический Анализ
LevelBlue Labs впервые обнаружили подозрительную активность, исходящую от того, что казалось легитимными антивирусными бинарными файлами, в начале июня. Дальнейшее расследование связало эту активность с новым инструментом, связанным с кампанией, ранее сообщенной Sophos в конце апреля, что ознаменовало значительную эволюцию в арсенале злоумышленников.
Во время анализа был изучен образец, маскирующийся под DLL логирования BitDefender. Экспортируемые функции в этом вредоносном DLL зеркально отражали функции оригинального DLL, за исключением одной измененной функции "LogSetMode". Эта функция была модифицирована для включения инструкции jmp, перенаправляющей на другой адрес, который расшифровывает и выполняет встроенный XOR-зашифрованный шеллкод.
Функция расшифровки полезной нагрузки использует сложный цикл, который избыточно устанавливает несколько локальных переменных на жестко закодированное значение, повторяя это действие 448 840 раз. Эта примитивная техника служит для обхода методов обнаружения, основанных на эмуляции.
После завершения цикла код проверяет значение одной из установленных переменных и аварийно завершает работу, если оно не соответствует ожиданиям. Затем он выделяет память для полезной нагрузки, расшифровывает ее с использованием жестко закодированного многобайтового XOR-ключа и выполняет полезную нагрузку.
Первоначальное общение с сервером C&C состоит из серии вызовов функции "send", передающих весь нулевой контент и длины 16, 4 и 0 байт соответственно. Эта последовательность вероятно действует как магическое число, чтобы обеспечить ответ сервера C&C только на вредоносный клиент. После выполнения этой серии отправок клиент получает 16 байт от C&C и возвращает их через новый сокет. Этот итерационный цикл позволяет иметь несколько активных соединений параллельно.
Похищая легитимное антивирусное программное обеспечение, эти злоумышленники эффективно избегают обнаружения, используя действительные сертификаты и создавая вредоносные бинарные файлы, которые тесно напоминают легитимные.