Сотрудники компании SentinelOne заметили, что серьезные хакерские группировки из стран Азии стали применять новую технику, позволяющую избежать обнаружения RAT (Remote Access Trojan). Данный метод позволяет не оставлять на компьютере жертвы практически никаких следов вредоносной активности и файлов.

Эксперты SentinelOne рассказали в официальном блоге, что заметили изменения в поведении шпионского RAT NanoCore (также известного как Nancrat). Хакерские группы ряда азиатских стран уже активно используют новую технику атак, и исследователи отмечают, что данный метод может вскоре может начать применяться не только в азиатских странах и не только для NanoCore. Техника гарантирует, что вредоносный пейлоуд останется исключительно в памяти устройства, ни разу не коснувшись жесткого диска жертвы в незашифрованном виде.

Впервые проникнув на компьютер жертвы, вредонос создает два файла: %APPDATA%\Microsoft\Blend\14.0\FeedCache\nvSCPAPISrv.exe и PerfWatson.exe по тому же адресу, а затем запускает их.

Picture11

В реестре появляется HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load, указывающий на файл PerfWatson.exe.

Picture31

Затем NanoCore пытается выйти на связь с управляющим сервером, а также распаковывает защищенный XOR-шифрованием .DLL-файл, который как раз ответственен за распаковку и инъекцию самого RAT в память компьютера. Настройки данного .DLL и исполняемых файлов NanoCore хранятся в зашифрованном виде внутри нескольких .PNG-изображений, куда записаны с использованием стеганографии.

Picture111

Когда все компоненты расшифрованы, пейлоуд NanoCore внедряется в новый процесс, используя Win32 API. Разумеется, на жестком диске пользователя всё же останутся какие-то следы, но антивирусные решения не определят их как вредоносные. Подобную атаку вообще крайне трудно отследить, так как пейлоуд скрывается в памяти.

Подробный разбор и анализ кода вредоноса можно найти в официальном блоге SentinelOne.

Фото: SentinelOne

6 комментариев

  1. A.T.

    25.04.2016 at 00:37

    Подобную атаку вообще крайне трудно отследить…

    Как насчет элементарной проверки на мусор в каталоге %APPDATA%\Microsoft\Blend\14.0\FeedCache
    Или обнулением оной, если лень лезть и мониторить реестр?!

    Как насчет обнаружения левых процессов ProcessExplorer (он ведь у уважающих себя людей установлен по умолчанию вместо штатного и дебильного Task Manager’a)?!

    Как насчет обнаружения левых процессов ломящихся в сеть по мутным адресам?!

    Ведь против принципа «никогда не пользоваться антивирусами» идти нельзя. Они пожирают ресурсы и сами являются источниками опасности и паранойи.

    • Андрей

      29.04.2016 at 18:01

      Прежде чем начинать мониторить ip адреса, отслеживать процессы ProcessExplorer’ом понадобится причина, что-то вас должно смутить прежде чем включать паранойю. Если отслеживаешь каждый ip адрес куда ломится система, то это уже паранойя. А антивирус, таки, нужен.

      • itjunky

        19.05.2016 at 17:46

        Практически с самого начала моей юзерской карьеры, антивири вызывали презрение, и да, ставил их я только после того как система начинала себя странно вести, а находил у себя реальных зверей лишь два раза, за 15 лет. Конечно, и винды я юзаю только для игр и стараюсь не запускать всё подряд из сети, а особо подозрительное перед запуском проверяю на вирустотале. Так что вместо антивируса вполне можно обойтись грамотными способыми сетевой контрацепции =) Такие как не ходить по вылазящим попапам и не только на порносайтах, или не читать спам, и уж темболее не запускать из него вложения.

        • AdVv

          12.08.2016 at 10:39

          Есть вообще стопудовый метод: отключиться от сети, выдернуть DVD и заклеить USB скотчем. Но надежнее всего отключить питание.
          Все уже начали забывать, что такое MSBlast и Conficker, там даже запускать ничего не нужно, достаточно было просто факта подключения к сети.
          Virustotal ? Я вас умоляю, его умеют обманывать даже школьники.

    • AdVv

      12.08.2016 at 10:33

      С вашим подходом вы охренеете:
      1) Мониторить весь траффик. Вручную. Смешно.
      Это называется IDS, и это очень сложная и комплексная система, которая все равно обходится, если злоумышленник предусмотрел ее присутствие. Даже голая винда постоянно куда-либо ломится, а блокировать весь траффик, который непонятен персонально тебе — выстрел в ногу. Я уж не говорю про сторонние приложения, особенно в масштабе предприятия.
      2) Мониторить конкретный файл ? Рили ? Таким образом вы победите ОДИН конкретный экземпляр вредноноса. А их сотни тысяч, если не миллионы. При таком подходе через год вам придется мониторить половину файловой системы, а в следующей версии авторы вредноноса сменят путь, или вообще сделают его динамическим. Что будете делать ?
      3) Левые процессы ? Их не будет видно, неужели вы думаете что все вирусы пишут голимые идиоты, которые неумеют спрятать активный код в нескольких гигабайтах памяти ?

  2. AdVv

    12.08.2016 at 10:20

    Действительно непонятно. Во первых шифровать себя, чтобы избежать сигнатурного анализа вирусы научились очень давно. Во вторых, чтобы запустить зашифрованное тело нужен загрузчик, который вполне себе ловится по сигнатуре. Ну и, в третьих, антивирусы также прекрасно умеют анализировать по сигнатурам оперативку, где вирус находится в расшифрованном виде. Что в таком подходе новаторского — неясно.

Оставить мнение