Palo Alto Networks Palo Alto Unit 42 Evil Corp Stately Taurus Mustang Panda DLL Подмена DLL DLL hijacking sideloading
Эксперты описали, как APT-группы используют системные службы для проведения самых разрушительных атак.
Исследователи из Alto Networks Unit 42
описали , как APT-группы используют DLL-библиотеки для заражения устройств. Эксперты описали атаки APT-групп
Stately Taurus
(PKPLUG, Mustang Panda) и
Evil Corp . Они также рассказали, как идентифицировать атаки с помощью поиска неподписанных
DLL - (с англ. Dynamic Link Library, динамически подключаемая библиотека) это библиотека, содержащая код и данные, которые могут использоваться несколькими программами одновременно.
"
data-html="true" data-original-title="DLL"
>DLL-библиотек.
Вредоносные DLL-библиотеки являются распространенным методом, используемый злоумышленниками, для выполнения вредоносных полезных нагрузок в зараженных системах. Большинство вредоносных DLL- библиотек имеют 3 общих характеристики:
DLL-библиотеки в основном записываются по непривилегированным путям;
DLL-библиотеки не подписаны;
Чтобы избежать обнаружения, хакеры загружают DLL-библиотеки с помощью подписанного процесса – утилиты для загрузки DLL-библиотек (например, rundll32.exe) или исполняемого файла, который загружает DLL как часть своей работы.
Анализ атак показал, что наиболее распространенными непривилегированными путями для загрузки вредоносных неподписанных DLL-библиотек являются папки ProgramData, AppData и домашние каталоги пользователей.
В ходе расследования были выявлены различные семейства вредоносных программ, которые использовали загрузку неподписанных DLL в период с января по август 2022 года.
Вредоносное ПО, обнаруженное при загрузке DLL.Анализ методов развертывания указанного вредоносного ПО показал, что банковские трояны и отдельные хакеры обычно используют «rundll32.exe» или «regsvr32.exe» для загрузки вредоносной DLL-библиотеки, в то время как APT-группы используют технику боковой загрузки DLL (DLL Sideloading).
Stately TaurusStately Taurus — это китайская APT-группа, которая обычно атакует неправительственные организации и использует законное ПО для загрузки полезной нагрузки.
В ходе анализа эксперты выяснили, что группа использует технику перехвата порядка поиска DLL (DLL Hijacking), которая позволяет вредоносной DLL загружаться в пространство памяти легитимного процесса. Хакеры использовали несколько компонентов стороннего ПО для боковой загрузки DLL, например, антивирусное ПО и программу для чтения PDF-файлов.
Для выполнения боковой загрузки DLL, группа поместила полезную нагрузку в папку «ProgramData», которая содержит 3 файла:
безопасный EXE-файл для перехвата DLL (AvastSvc.exe);
DLL-файл (wsc.dll);
зашифрованную полезную нагрузку (AvastAuth.dat).
Загруженная DLL загружает зашифрованную полезную нагрузку из файла .dat, которая является RAT-трояном
PlugX RAT .
Файлы в папке ProgramData
Raspberry Robin (Evil Corp называют самой вредоносной и самой наглой группировкой среди киберпреступников. За сведения о ее членах американское правительство назначило награду в $5 млн., а СМИ обсуждают слухи об их возможных связях с российскими спецслужбами."
data-html="true" data-original-title="Evil Corp"
>Evil Corp)Действия по загрузке DLL, которые происходят в этих атаках, были приписаны кампании
Raspberry Robin .
Атака начинается с файла ярлыка на зараженном USB-устройстве, который запускает исполняемый файл «msiexec.exe» для извлечения вредоносной DLL с удаленного C&C сервера. Во время установки создается запланированная задача для обеспечения устойчивости, загружающая DLL с помощью «rundll32.exe/regsvr32.exe» при запуске системы.
Специалисты Unit
42 сказали, что вы можете самостоятельно выявить загрузку неподписанных DLL-библиотек. Нужно сосредоточиться на следующем:
В случае боковой загрузки DLL следует обратить внимание на известное стороннее ПО, размещенное в нестандартных каталогах;
Энтропия файла — двоичные файлы с высоким значением энтропии могут содержать упакованный раздел, который будет извлечен во время выполнения;
Частота выполнения — результаты с высокой частотой могут указывать на законную деятельность, которая происходит периодически, а результаты с низкой частотой могут быть вредоносными;
Путь к файлу — обращайте внимание на результаты, содержащие папки или файлы с зашифрованными именами.
SECURITYLAB.RU
.png)
.png)
