Scroll untuk baca artikel
Networking

Kami mencium (DC) tikus: mengungkapkan rantai pengiriman malware yang canggih

96
×

Kami mencium (DC) tikus: mengungkapkan rantai pengiriman malware yang canggih

Share this article
kami-mencium-(dc)-tikus:-mengungkapkan-rantai-pengiriman-malware-yang-canggih
Kami mencium (DC) tikus: mengungkapkan rantai pengiriman malware yang canggih

CyberTreats

Unit Penelitian Ancaman Acronis (TRU) disajikan dengan rantai ancaman yang menarik dan sampel malware untuk analisis yang melibatkan ancaman cyber yang diketahui bersama dengan beberapa tikungan yang menarik dalam penargetan dan kebingungan.

Example 300x600

Dalam artikel ini, kami akan membedah rantai dan taktik pengiriman malware yang kompleks. Fokusnya adalah pada proses infeksi multi-tahap yang melibatkan Visual Basic Script (VBS), file batch, dan skrip PowerShell, yang pada akhirnya mengarah ke penyebaran malware profil tinggi seperti DCrat atau Rhadamanthys Infostealer.

Infeksi Awal: Lampiran Email Penipuan

Infeksi dimulai dengan email yang tampaknya tidak berbahaya. Pesan tersebut berisi lampiran arsip RAR, dengan cerdik bernama “Citación Por Embargo de Cuenta,” yang diterjemahkan menjadi “panggilan untuk pemalsuan akun.”

Nama file ini dirancang untuk membangkitkan kekhawatiran langsung dan meminta penerima berbahasa Spanyol untuk membuka lampiran. Setelah arsip RAR diekstraksi, ia mengungkapkan file visual basic script (VBS).

Saat dieksekusi, file VBS ini memulai proses pengiriman multistage, mengatur tahap untuk penyebaran muatan berbahaya akhir.

Rantai serangan

Proses pengiriman multi-tahap

File VBS sangat dikaburkan, sehingga menyulitkan solusi keamanan tradisional untuk mendeteksi niat jahatnya.

VBS yang dikaburkan

Setelah dieksekusi, skrip VBS menghasilkan file batch Windows (BAT) dan mentransfer kontrol ke sana. File batch ini adalah tautan berikutnya dalam rantai, yang bertanggung jawab untuk membangun string yang dikodekan basis64 dari variabel lingkungan.

String ini mewakili skrip PowerShell yang ringkas, yang kemudian dieksekusi menggunakan argumen -Command.

Perintah PowerShell

Skrip PowerShell memainkan peran penting dalam rantai pengiriman. Ini membaca baris terakhir dari file batch, menghapus byte marker, dan mendekode muatan yang dihasilkan.

PowerShell yang dikaburkan

Payload yang didekodekan adalah Windows .NET Executable, yang dimuat ke dalam memori menggunakan teknik malware umum yang dikenal sebagai Runpe, difasilitasi oleh perpustakaan penolong.

Payload itu sendiri dikemas menggunakan .NET Packer khusus dan sangat dikaburkan, berisi dua gumpalan data terenkripsi dalam struktur sumber dayanya.

Gumpalan data ini dapat didekripsi menggunakan operasi XOR byte-byte dengan kunci 0x78-proses ini juga umum dalam kriptografi.

.NET Assemblies

Risiko dan menghindari deteksi

Penyebaran malware profil tinggi seperti DCrat atau Rhadamanthys Infostealer melalui rantai pengiriman yang kompleks ini menimbulkan risiko yang signifikan.

Proses multi-tahap, yang melibatkan banyak bahasa skrip dan teknik pengayaan, secara efektif dapat melewati solusi keamanan, yang mengarah ke akses yang tidak sah, pencurian data, dan kompromi sistem.

Kompleksitas rantai pengiriman memperkenalkan banyak lapisan kebingungan, membuatnya menantang solusi keamanan untuk mendeteksi dan memblokir malware pada setiap langkah.

Namun, kompleksitas tambahan juga memperkenalkan lebih banyak poin kegagalan, yang dapat dieksploitasi untuk memecahkan rantai dan mencegah muatan akhir yang dieksekusi.

Solusi Keamanan berlapis -lapis: Pertahanan yang komprehensif

Untuk memerangi ancaman canggih seperti itu, solusi keamanan berlapis -lapis sangat penting. Solusi ini menggunakan berbagai teknik pada berbagai tahap proses infeksi.

Misalnya, selama tahap awal, mereka dapat mendeteksi dan memblokir email dan lampiran berbahaya, mencegah pelaksanaan skrip dasar visual.

Heuristik lanjutan dan analisis perilaku dapat mengidentifikasi skrip yang dikaburkan dan kegiatan yang mencurigakan, seperti pembuatan file batch dan skrip PowerShell di direktori pengguna.

Unit Penelitian Ancaman Acronis menganalisis ancaman seperti DCrat sebagai bagian dari penelitian penelitian dan pengembangan kami yang sedang berlangsung untuk memastikan bahwa solusi keamanan kami – seperti Acronis Advanced Security + Extended Detection and Response (XDR) – disiapkan untuk ancaman yang muncul.

Acronis XDR memanfaatkan perlindungan waktu nyata dan emulator skrip generik yang dikembangkan di rumah untuk menghilangkan dan menganalisis skrip, memungkinkan untuk deteksi dini dan netralisasi ancaman. Dengan memantau dan memblokir pelaksanaan muatan yang dikodekan dalam memori, solusi ini dapat mencegah pemuatan malware akhir seperti DCrat, Rhadamanthys, atau REMCO.

Temuan utama, wawasan dan filsuf Jerman abad ke -19

Analisis rantai pengiriman malware ini oleh Acronis Ancaman Research Unit (TRU) telah menghasilkan beberapa temuan utama. Aspek analisis yang terkenal, dan mungkin unik, adalah dimasukkannya kutipan filosofis dari Friedrich Nietzsche dalam naskah PowerShell, kemungkinan digunakan sebagai gangguan.

Karena file-file itu tidak terobsesi, kutipan terkenal berikut muncul sebagai teks biasa:

  • “Selalu ada kegilaan dalam cinta. Tapi selalu ada beberapa alasan dalam kegilaan.”
  • “Pada individu, kegilaan jarang terjadi; tetapi dalam kelompok, partai, bangsa, dan zaman, itu adalah aturannya.”
  • “Di surga, semua orang yang menarik hilang.”

Fungsi pembalik

Setelah itu, penambahan de-obfuskasi diperlukan untuk menggali kode berbahaya.

Detail ini menyoroti kreativitas dan kecanggihan penulis malware modern. Terlepas dari tantangan ini, Acronis Tru berhasil mendeteksi dan menetralkan komponen yang terlibat.

Analisis terperinci Acronis Ancaman Research Unit tentang DCrat memberikan pemahaman yang komprehensif tentang ancaman baru ini, termasuk sampel dan tangkapan layar yang aman. Untuk menyelami metodologi dan kode dalam serangan ini, Anda dapat mengakses lengkap Tulisan teknis di sini.

Untuk informasi lebih lanjut tentang Unit Penelitian Ancaman Acronis atau untuk mengikuti peringatan dan pembaruan terbaru, akses Blog Penelitian di sini.

Disponsori dan ditulis oleh Acronis.