Недавно на платформе Malware Bazaar был обнаружен небольшой HTA-скрипт, связанный с набором инструментов Cobalt Strike. Скрипт использует простую обфускацию, которую можно снять с помощью сервиса CyberChef и текстового редактора (например, Visual Studio Code).
В этом материале мы рассмотрим действия наших зарубежных «коллег по цеху» из компании Embee Research и разберёмся, как можно просто и быстро снять установленную хакерами защиту практически на любые файлы.
Первоначально выявленный IT-специалистами файл содержал небольшое количество HTML-кода, за которым следовала большая часть символов, закодированных в формате URL.
Для декодирования этой информации была использована операция URL Decode в CyberChef.
После первого декодирования содержимое файла все ещё оставалось закодированным в URL. Повторное применение URL Decode успешно сняло оставшуюся обфускацию, что позволило перейти к следующему этапу анализа.
Декодированный скрипт содержал большое количество лишних пробелов, что усложняло дальнейшую работу. Для удаления избыточных пробелов была использована массовая замена регулярного выражения, что значительно упростило текст скрипта.
В результате, стало видно, что скрипт содержит большой фрагмент закодированного в base64 текста. Внимание исследователей привлекло также наличие ключевой функции frombase64string с переменным регистром символов.
Декодирование base64 содержимого снова было выполнено с помощью CyberChef. Как и ранее, удаление лишних пробелов с использованием регулярных выражений сделало содержимое более читаемым. Стало очевидно, что скрипт является загрузчиком, использующим функцию URLDownloadToFile.
Адрес следующего этапа загрузки также стал виден после полной деобфускации:
Рассмотренный случай демонстрирует, как важны инструменты вроде CyberChef и простого текстового редактора для анализа и декодирования вредоносных скриптов. Даже самые изощренные атаки, фактически, могут быть проанализированы и раскрыты при помощи базовых инструментов и методичного подхода.
Всё это подчёркивает важность развития критического мышления и владения фундаментальными навыками анализа для специалистов по информационной безопасности. Непрерывное обучение и обмен знаниями в профессиональном сообществе становятся критическими для эффективной защиты от постоянно эволюционирующих киберугроз.