Fileless Malware ascuns în Windows Event Logs

Echipa Kaspersky documentează  public o campanie malițioasă care inserează în Windows event logs troieni fileless în ultima etapă.

Într-un raport publicat miercuri (04.05.2022), Kaspersky a declarat că prima fază a campaniei a început în jurul lunii septembrie 2021, atacatorii atrăgând victimele să descarce un modul Cobalt Strike semnat digital.

Folosirea jurnalelor de evenimente pentru a ascunde malware este o tehnică pe care specialiștii Kaspersky spun că nu au mai văzut-o până acum în atacurile malware.

Aceștia nu au atribuit atacurile unui grup de atacatori cunoscut, dar spun că grupul iese în evidență pentru faptul că a remediat funcțiile API native Windows asociate cu event tracking și interfața de scanare anti-malware pentru a se asigura că infectarea cu malware rămâne nedetectată.

De fapt, atacatorii se concentrează pe evitarea detectării: folosesc nume de domenii care le imită pe cele legitime, utilizează servere virtuale private pentru găzduire și folosesc o varietate de decriptoare anti-detecție – compilatoarele observate variază de la cl.exe din Microsoft până la o versiune recentă de Go.

Potrivit Kaspersky, atacatorii semnează unele dintre fișierele malițioase cu certificate digitale care par a fi emise chiar de ei. În ceea ce privește instrumentele, aceștia folosesc Cobalt Strike, NetSPI (parte a framework-ului SilentBreak), diverse module personalizate și cod suplimentar de la terți.

Pentru a nu fi detectați  folosesc MSVC, GCC din MinGW și compilatorul Go 1.17.2. De asemenea, numele funcțiilor din pachetul principal au fost obfuscate.

Troienii din ultima etapă comunică cu serverul de comandă și control (C&C) fie prin HTTP cu criptare RC4, fie prin utilizarea comunicării necriptate cu named pipes.

La execuție, troianul HTTP amprentează sistemul infectat și trimite datele către server, dacă un ping inițial către acesta are succes. De asemenea poate descărca și salva payload-uri, poate lista procesele,  insera cod în procesele țintă și încheia sesiunea cu C&C.

Surse:

• https://www.securityweek.com/kaspersky-warns-fileless-malware-hidden-windows-event-logs

• https://securelist.com/a-new-secret-stash-for-fileless-malware/106393/