„Nowatorska” metoda ukrywania komend batch i powershell

13 sierpnia, 2018
powershell

Eksperci z firmy antywirusowej G Data wykryli nową metodę ukrywania kodu w pliku, który na pierwszy rzut oka wygląda na uszkodzony.

Po zidentyfikowaniu i przebadaniu pierwszych downloaderów złośliwego oprogramowania zauważono, że do zaciemnienia kodu użyto niestosowanej dotąd metody. Komendy batch i powershell zostały zobfuskowane w taki sposób, by na pierwszy rzut oka nie były do zidentyfikowania nawet przez doświadczonych analityków.

Sascha Curylo z firmy G Data twierdzi, że do tej pory nie natknęli się na takie złośliwe oprogramowanie, które ukrywałoby w ten sposób swoje prawdziwe zamiary. Analiza wykazała, że niepoprawnie wyodrębniony plik na pierwszy rzut oka przypomina losowy ciąg znaków zawierający spacje, przecinki oraz inne znaki.

Zaciemniony kod Batch uruchamiający powershell

Tak naprawdę downloader korzysta z nowej „metody” DOSfuskacji (termin został po raz pierwszy użyty na konferencji Black Hat Asia 2018 przez pracownika FireEye) — autor malware do stworzenia sekwencji komend z pojedynczych liter wykorzystuje substringi i liczby. Do tej pory jednak nie wykryto przykładu złośliwego oprogramowania, który wykorzystywałoby tę metodę do przeprowadzania aktywnych ataków. Aż do teraz.

Próbka analizowana przez firmę G Data została przesłana przez klienta pod nazwą Rechnung-Details-DBH[przypadkowa sekwencja liczb].doc i nie jest pojedynczym przypadkiem — co widać na VirusTotal. Na świecie (głównie w Europie) pochwycono kilka próbek, które były hostowane m.in. na polskich zhackowanych stronach internetowych.

Po uruchomieniu złośliwego dokumentu infekcja przebiega standardowo:

  • Plik Word tworzy makro zawierające zaciemniony kod.
  • Makro uruchamia zaciemniony kod batch.
  • Batch uruchamia kod pobierania pliku w powershell.
  • Pobrany downloader o nazwie Emotet zostaje użyty do różnych celów: początkowo Emotet wykorzystywany był jako trojan, ale z czasem przekształcił się w downloader modułowy oraz wykradający informacje.

Faktyczny payload zastosowany w tym ataku to Trickbot, czyli inny przykład złośliwego oprogramowania, który odpowiada głównie za ataki na systemy bankowości internetowej.

Dodatkowe IoC:

SHA256: 880dbab81729e3cd7cd1bd64023de55f2a6ac4e0d08ebbf2b30722d06933c8a8
MD5: 41ce357e792fdbc426609aa1dbc8416a

Aby skutecznie chronić się przed trojanami bankowymi oraz zaprezentowanym atakiem, wystarczy zapoznać się z naszym poradnikiem zabezpieczania komputerów i zastosować się do wskazówek.

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]