تستمر البرامج الضارة غير المرشح في التهرب من الدفاعات الحديثة بسبب طبيعتها الخلسة والاعتماد عليها على أدوات النظام المشروعة للتنفيذ. يتجاوز هذا النهج الكشف التقليدي القائم على القرص من خلال العمل في الذاكرة ، مما يجعل هذه التهديدات أكثر صعوبة في اكتشاف وتحليل والقضاء. توجت حادثة حديثة بلغت انتشار Asyncrat ، وهي طروادة قوية للوصول عن بُعد (RAT) ، من خلال محمل غير مرشح متعدد المراحل. في هذه المدونة ، نشارك بعض الوجبات الرئيسية من هذا التحقيق. لتحليل متعمق وقائمة كاملة من المؤشرات المحددة للتسوية (IOCS) ، قم بتنزيل التقرير الكامل هنا.
الوصول الأولي عبر screenconnect
بدأ الهجوم مع عميل ScreenConnect للخطر ، وهي أداة وصول عن بُعد شرعية. بدأ ممثل التهديد جلسة تفاعلية من خلال relay.superzone[.]عبر الإنترنت ، مجال ضار معروف مرتبط بنشر ScreenConnect غير المصرح به. من هذه الجلسة ، تم تنفيذ VBScript (update.vbs) باستخدام WScript ، مما يؤدي إلى أمر PowerShell المصمم لجلب حمولين خارجيين.
تم تنزيل الحمولة الرافعة ، Logs.ldk و Logs.Ldr ، من خادم بعيد. تمت كتابة هذه الملفات إلى C: \ Users \ Public \ Directory وتم تحميلها في الذاكرة باستخدام الانعكاس. قام البرنامج النصي بتحويل حمولة المرحلة الأولى (logs.ldk) إلى صفيف بايت ومرر الجزء الثاني (logs.ldr) مباشرة إلى الطريقة الرئيسية (). يقوم البرنامج النصي باسترداد البيانات المشفرة من الويب ، ويفكّلها في الذاكرة ، ويستدعي طريقة في مجموعة .NET تم تحميلها ديناميكيًا.
تجسد هذه التقنية البرامج الضارة التي لا يمكن تنفيذها: لا يتم كتابة أي تطبيق على القرص ، ويتم تنفيذ جميع المنطق الخبيث في الذاكرة.
المرحلة 1: obfuscator.dll – قاذفة الحمولة الفضائية والتهرب من الأداة المساعدة
بعد ذلك ، استخدم فريق LevelBlue DNSPY لتحليل مجموعة .NET. يعمل الملف الأول الذي فحصوه ، Obfuscator.dll ، بمثابة قاذفة للوظائف الضارة في سلسلة العدوى المستندة إلى Asyncrat. يعمل DLL هذا باعتباره أول مرحلة في الذاكرة مسؤولة عن بدء تدفق التنفيذ ، ونشر تكتيكات التهرب ، واستدعاء مكونات الحمولة الأساسية. أنه يحتوي على ثلاث فئات أساسية:
- الفئة A: نقطة الدخول لـ DLL ، المسؤولة عن تهيئة بيئة وقت التشغيل.
- Class Core: قم بإعداد الثبات باستخدام مهمة مجدولة متنكرا على أنها “Skype Updater” وتنفيذ حمولة إضافية وتنفيذها.
- Class TAFCE5: ينفذ تقنيات مضادة للتحليل ، بما في ذلك:
- patchamsi () و patchetw (): تعطيل تسجيل أمان Windows ومسح السيناريو.
- دقة API الديناميكية: يستخدم getProcaddress () و getModuleHandle () للتهرب من التحليل الثابت.
يتيح هذا التصميم المعياري للبرامج الضارة تعطيل الدفاعات والحفاظ على الشبح وإعداد البيئة للحمولة الرئيسية.
المرحلة 2: asyncclient.exe – محرك القيادة والتحكم
Asyncclient.exe هو العمود الفقري التشغيلي للبرامج الضارة ، حيث ينفذ دورة حياة القيادة والسيطرة الكاملة بعد التسوية الأولية والتشويش. في قلبه ، يستفيد هذا الثنائي من النموذجية ، والتشفير ، وآليات الشبح للحفاظ على الوصول المستمر إلى الأنظمة المصابة. يقوم بإجراء استطلاع النظام ، ويحافظ على الاتصال عبر بروتوكولات Ping المخصصة ، ويقوم بتنفيذ الأوامر المرفقة من المهاجمين من خلال نظام تحليل الحزم الديناميكية. تشمل أبرز أبرز هذا الفئران:
- التكوين وفك التشفير: يستخدم AES-256 لفك تشفير الإعدادات المدمجة BASE64 ، بما في ذلك:
- المجالات والموانئ C2 (3OSCH20[.]Duckdns[.]ORG)
- أعلام العدوى (على سبيل المثال ، الثبات ، مضادات التحليل)
- الدلائل المستهدفة (٪ appdata ٪)
- شهادة البرامج الضارة و HWID
- C2 اتصال وإرسال الأوامر:
- يتصل بخادم C2 عبر مقبس TCP.
- يرسل البيانات باستخدام بروتوكول مخصص مع حزم ذات طول بايت.
- تقوم بزيوف الحزم عبر MessagePack وإرسالها إلى Packet.Read ().
- الاستطلاع والترشيح:
- يجمع تفاصيل نظام التشغيل ، ومستوى الامتياز ، وحالة مكافحة الفيروسات ، وعناوين النوافذ النشطة ، وملحقات المتصفح (على سبيل المثال ، metamask ، phantom).
- قطع الأشجار والمثابرة:
- ينفذ Keylogging باستخدام رد اتصال الخطاف ، وتخزين الإدخال في ملف مؤقت ، إلى جانب سياق لالتقاط أنماط نشاط المستخدم.
- يضمن الثبات من خلال المهام المجدولة باستخدام وظيفة CreateLogIntask () التي شوهدت في obfuscator.dll أو إعادة إنشائها بشكل متكرر من غير متزامن.
خاتمة
يكشف هذا التحليل لهيكل الأوامر ، و Opfuscator ، و Asyncclient.exe عن رؤى حرجة في طروادة متطورة للوصول عن بُعد (RAT). من خلال تحطيم العناصر الرئيسية ، يمكننا أن نفهم كيف تحافظ البرامج الضارة على الثبات ، وتحميل حمولة حمولة ديناميكية ، وبيانات حساسة مثل بيانات الاعتماد ، ومحتويات الحافظة ، ومصنوعات المتصفح. تتيح هذه النتائج إنشاء توقيعات الكشف المستهدفة ودعم تصلب نقطة النهاية بناءً على السلوكيات المرصودة.
لعملائنا ، يعطي هذا الجهد الهندسي العكسي الذكاء القابل للتنفيذ. من خلال هذه التحقيقات المتعمقة ، يهدف فريقنا إلى تحسين الكشف والاستجابة والمرونة. اقرأ المزيد عن التحقيق والوجبات الهامة بما في ذلك IOCs المحددة عن طريق تنزيل التقرير الكامل هنا.
المحتوى المقدم هنا هو لأغراض إعلامية عامة فقط ويجب عدم تفسيرها على أنها نصيحة قانونية أو تنظيمية أو امتثال أو للأمن السيبراني. يجب على المنظمات استشارة محترفيها القانونيين أو الامتثال أو الأمن السيبراني فيما يتعلق بالالتزامات المحددة واستراتيجيات إدارة المخاطر. في حين أن حلول الكشف عن التهديدات والاستجابة المدارة من LevelBlue مصممة لدعم الكشف عن التهديدات والاستجابة لها على مستوى نقطة النهاية ، فهي ليست بديلاً لرصد الشبكات الشامل أو إدارة الضعف أو برنامج الأمن السيبراني الكامل.
