Исследователи выявили в механизме вредоноса целый ряд различных методов уклонения от обнаружения.
На прошлой неделе аналитиками компании Minerva была обнаружена новая скрытая вредоносная программа под названием «Beep», обладающая множеством функций, позволяющих избежать анализа и обнаружения программным обеспечением безопасности.
Хотя вредонос Beep всё ещё находится в разработке и в нём пока отсутствуют несколько ключевых функций, в настоящее время он уже позволяет злоумышленникам загружать и выполнять дополнительные полезные нагрузки на скомпрометированных устройствах. Beep используется в первую очередь для кражи информации. Для работы программы задействуется три отдельных компонента: дроппер, инжектор и полезная нагрузка.
Дроппер («big.dll») создаёт новый раздел реестра со значением «AphroniaHaimavati», который содержит сценарий PowerShell в кодировке base64. Этот сценарий запускается каждые 13 минут с помощью запланированной задачи Windows.
Когда скрипт выполняется, он загружает данные и сохраняет их в инжектор с названием AphroniaHaimavati.dll. Инжектор — это компонент, который использует ряд методов защиты от отладки и защиты от виртуальных машин для внедрения полезной нагрузки в законный системный процесс «WWAHost.exe» с помощью «опустошения процесса» («Process Hollowing»), чтобы избежать обнаружения антивирусными средствами, запущенными на хосте.
Наконец, основная полезная нагрузка пытается собрать данные со взломанного компьютера, зашифровать их и отправить на C2-сервер. Во время анализа специалистами Minerva, жёстко прописанный в коде C2-сервер был отключен, но вредоносная программа пыталась подключиться к нему даже после 120 неудачных попыток.
Схема работы вредоносной программы Beep
Что отличает вредоносную программу Beep от других, так это использование множества методов на протяжении всего процесса выполнения, чтобы избежать обнаружения и анализа антивирусными решениями и исследователями кибербезопасности. Специалисты Minerva обнаружили 8 различных техник, которые вредонос применяет в своей работе, и подробно описали их в своём отчёте .
Beep — это пример вредоносного ПО, которое в значительной степени ориентировано на уклонение, внедряющее сразу несколько механизмов антианализа, прежде чем завершить процесс кражи данных и выполнения вредоносных команд. Хотя в реальных атаках он встречается редко, Beep в будущем может стать серьёзной угрозой, на которую следует обратить внимание уже сейчас.
5778 К? Пф! У нас градус знаний зашкаливает!