Το Cyble Research and Intelligence Labs (CRIL) αποκάλυψε πρόσφατα μια εξελιγμένη διαδικτυακή fileless επίθεση που απευθύνεται σε συμμετέχοντες στη Διάσκεψη Αμυντικής Βιομηχανίας ΗΠΑ-Ταϊβάν. Αυτή η fileless επίθεση χρησιμοποιεί ένα κακόβουλο αρχείο για να πραγματοποιήσει μια επίθεση στη μνήμη, αποφεύγοντας τις παραδοσιακές μεθόδους ανίχνευσης, ενώ παράλληλα εξάγει ευαίσθητα δεδομένα από στοχευμένα συστήματα.

Δείτε επίσης: Το Godzilla Fileless Backdoor εκμεταλλεύεται ευπάθεια του Atlassian Confluence

Η fileless επίθεση που εντοπίστηκε από το CRIL περιλαμβάνει ένα κακόβουλο αρχείο ZIP που μεταμφιέζεται ως νόμιμη φόρμα εγγραφής για τη διάσκεψη. Αυτή η παραπλανητική τακτική έχει σχεδιαστεί για να ξεγελάσει τους χρήστες να εκτελέσουν ένα επιβλαβές αρχείο LNK που φαίνεται να είναι ένα έγγραφο PDF. Όταν εκτελείται, το αρχείο LNK ξεκινά μια σειρά από κρυφές ενέργειες για την εξασφάλιση της επιμονής και την εκτέλεση περαιτέρω κακόβουλων δραστηριοτήτων.

Κατά την εκτέλεση του αρχείου LNK, εξάγει ένα PDF ως δέλεαρ και ένα εκτελέσιμο αρχείο με κωδικοποίηση base64. Αυτό το εκτελέσιμο αρχείο, που προστατεύεται από το εργαλείο .NET Confuser, τοποθετείται στον φάκελο εκκίνησης για να διασφαλίζεται ότι εκτελείται κάθε φορά που το σύστημα επανεκκινείται. Μόλις ενεργοποιηθεί το εκτελέσιμο αρχείο, κατεβάζει επιπλέον κακόβουλο περιεχόμενο, συμπεριλαμβανομένου ενός κρυπτογραφημένου αρχείου DLL από έναν απομακρυσμένο διακομιστή. Αυτό το DLL στη συνέχεια αποκρυπτογραφείται και φορτώνεται απευθείας στη μνήμη, αποφεύγοντας τον εντοπισμό από τα συμβατικά εργαλεία ασφαλείας.

Η μυστικότητα της fileless επίθεσης που στοχεύει τη διάσκεψη, ενισχύεται περαιτέρω από το πρόγραμμα φόρτωσης δεύτερου σταδίου, το οποίο μεταγλωττίζει και εκτελεί κώδικα C# εξ ολοκλήρου στη μνήμη. Αυτή η τεχνική, γνωστή ως in-memory execution, αποτρέπει τη δημιουργία ανιχνεύσιμων αρχείων στο δίσκο, καθιστώντας τον εντοπισμό πολύ πιο δύσκολο.

Δείτε ακόμα: Hackers εκμεταλλεύονται την υπηρεσία WER στα πλαίσια fileless malware επίθεσης

Η έρευνα του CRIL αποκάλυψε ότι ο αρχικός φορέας μόλυνσης παραμένει ασαφής, αν και το έγγραφο δέλεαρ υποδηλώνει ότι ενδέχεται να χρησιμοποιηθούν ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου για τη διανομή του κακόβουλου αρχείου. Το αρχείο ZIP, που ονομάζεται “registration_form.pdf.zip“, περιέχει ένα αρχείο LNK με διπλή επέκταση (.pdf.lnk), παραπλανώντας τους χρήστες να πιστέψουν ότι είναι ένα αβλαβές έγγραφο PDF.

Όταν ανοίγει το αρχείο LNK, εκτελεί μια σειρά από εντολές στο παρασκήνιο. Αποκωδικοποιεί το ενσωματωμένο περιεχόμενο base64, αποθηκεύοντας το PDF και το εκτελέσιμο στο σύστημα. Το εκτελέσιμο αρχείο τοποθετείται στη συνέχεια στον φάκελο εκκίνησης για να διασφαλιστεί η επιμονή. Μετά από αυτό, το PDF ανοίγει μέσω του προεπιλεγμένου προγράμματος προβολής PDF του συστήματος.

Το πρόγραμμα φόρτωσης πρώτου σταδίου, “updater.exe“, έχει σχεδιαστεί για να εκτελείται από τον κατάλογο εκκίνησης. Στέλνει ένα αίτημα POST σε έναν παραβιασμένο ιστότοπο, αποκαλύπτοντας τις πληροφορίες του μηχανήματος του θύματος. Στη συνέχεια, το πρόγραμμα φόρτωσης ανακτά επιπλέον περιεχόμενο από μια διεύθυνση URL που ελέγχεται από τους εισβολείς, συμπεριλαμβανομένου ενός αρχείου DLL με κωδικοποίηση base64 και κρυπτογραφημένο με XOR. Αυτό το αρχείο DLL φορτώνεται δυναμικά και εκτελείται στη μνήμη χρησιμοποιώντας τη λειτουργία “Assembly.Load” του .NET.

Ο φορτωτής δεύτερου σταδίου ακολουθεί παρόμοια διαδικασία, κατεβάζοντας κρυπτογραφημένο κώδικα C#, ο οποίος μεταγλωττίζεται και εκτελείται εξ ολοκλήρου στη μνήμη. Αυτή η προσέγγιση αποφεύγει αποτελεσματικά τον εντοπισμό από παραδοσιακά μέτρα ασφαλείας.

Δείτε επίσης: Συνελήφθη έφηβος που συνδέεται με την κυβερνοεπίθεση στην Transport for London

Το fileless malware αντιπροσωπεύει έναν εξελιγμένο τύπο επίθεσης, όπως αυτή που στόχευσε τη Διάσκεψη Αμυντικής Βιομηχανίας ΗΠΑ-Ταϊβάν, που είναι ιδιαίτερα δύσκολο να εντοπιστεί. Σε αντίθεση με το παραδοσιακό κακόβουλο λογισμικό που απαιτεί την εγκατάσταση αρχείων στη συσκευή του θύματος, το fileless malware εκμεταλλεύεται εργαλεία και εφαρμογές που υπάρχουν ήδη στο σύστημα, χωρίς να αφήνει άμεσο αποτύπωμα. Αυτός ο τύπος επίθεσης συχνά αξιοποιεί νόμιμα προγράμματα, όπως το PowerShell ή το Windows Management Instrumentation, για την εκτέλεση κακόβουλου κώδικα στη μνήμη. Ως αποτέλεσμα, το κακόβουλο λογισμικό μπορεί να παρακάμψει τυπικές λύσεις προστασίας από ιούς που σαρώνουν κυρίως για ύποπτα αρχεία στο δίσκο. Η άνοδος των fileless επιθέσεων έχει τονίσει την ανάγκη για προηγμένα μέτρα ασφαλείας.

Πηγή: thecyberexpress