Еще в 2017 году специалисты компании enSilo выступили на конференции Black Hat Europe с докладом, в котором рассказали о новой технике атак, получившей название Process Doppelgänging. Такие атаки работают против всех версий Windows и позволяют обмануть большинство современных антивирусов, выполнив вредоносный код прямо у них «под носом».

Схема работы Process Doppelgänging похожа на другую, давно известную технику атак, которая называется Process Hollowing. Данная методика внедрения кода предполагает создание нового экземпляра легитимного процесса и последующую подмену легитимного кода вредоносным. Так как о существовании Process Hollowing известно давно, большинство защитных решений успешно обнаруживают и пресекают подобные манипуляции.

Но специалисты enSilo решили развить эту идею дальше, и создали атаку, которая позволяет более эффективно скрывать малварь от антивирусов в контексте легитимных процессов. Process Doppelgänging предполагает использование транзакций NTFS (TxF), что позволяет модифицировать легитимный файл в контексте транзакции, а затем выполнять вредоносный код, который в итоге вообще не попадает на диск (атака получается бесфайловой).

Спустя всего несколько месяцев после публикации данного исследования, обнаружилось, что вымогатель SynAck взял технику Process Doppelgänging на вооружение, а вслед за ним эту технику атак использовал банкер Osiris (в сочетании с Process Hollowing).

Но, как выясняется теперь, SynAck и Osiris были  отнюдь не единственными вредоносами, адаптировавшими Process Doppelgänging под свои нужды. Эксперты enSilo сообщают, что в  гибридную реализацию придуманной ими техники атак используют загрузчики более чем 20 семейств малвари, включая  FormBook, LokiBot, SmokeLoader, AZORult, NetWire, njRat, Pony Stealer и GandCrab.

Изучив сотни образцов вредоносного ПО, исследователи обнаружили, по меньшей мере, семь разных версий загрузчика TxHollower, который используют авторы самой разной малвари. «Злоумышленники, как известно, нередко повторно используют разные ресурсы и инструменты в своих цепочках атак, и чаще всего, это дропперы, упаковщики и загрузчики», — объясняют исследователи.

Аналитики полагают, что TxHollower доступен преступникам в составе некоего фреймворка или набора эксплоитов, что в итоге и привело к росту популярности Process Doppelgänging. Самый ранний образец загрузчика с функцией TxHollower датирован мартом 2018 года и использовался для распространения Netwire RAT. Затем этот загрузчик был обнаружен в комплекте с несколькими версиями вымогателя GandCrab, начиная с v5 и вплоть до v5.2.

Хронология распределения различных версий TxHollower

«Хотя мы не наблюдали фактических заражений, нам удалось обнаружить несколько образцов, которые, как мы подозреваем, были связаны с цепочками атак, использовавшими загрузчики и дропперы с TxHollower. Среди обнаруженных типов файлов были исполняемые PE, JavaScript и различные документы», — гласит новый отчет enSilo.

2 комментария

  1. Аватар

    int01h

    27.07.2019 at 06:30

    Ну да, зато попиарились пацаны, а теперь только и остается, что ручками разводить, да графики рисовать

  2. Аватар

    Mona

    27.07.2019 at 10:56

    Мне понравилось

Оставить мнение