Преступники мастерски скрывают вредоносное ПО под легитимной оберткой.
В мире киберпреступности набирает обороты новая тревожная тенденция — злоумышленники все чаще используют коммерческие продукты компании BoxedApp для сокрытия и распространения вредоносного ПО. За последние месяцы аналитики зафиксировали резкий рост числа атак с применением этих инструментов.
В течение прошлого года количество вредоносов, упакованных в BoxedApp, существенно выросло. Основными мишенями стали финансовые и государственные организации по всему миру. Среди наиболее распространенных типов вредоносного ПО — ботнеты удаленного доступа, инфостилеры, а также программы-вымогатели вроде LockBit. Половина образцов происходит из Турции, США и Германии.
Чаще всего хакеры прибегали к двум продуктам BoxedApp — Packer и BxILMerge, базирующимся на мощном SDK. Эти решения открывают доступ к целому спектру продвинутых функций, упрощая распространение вирусов.
Ключевые возможности BoxedApp SDK включают виртуальную файловую систему, виртуальный реестр, создание виртуальных процессов, перехват системных API, упаковку исполняемых файлов и сборку единого пакета со всеми зависимостями. Важным преимуществом является возможность организовать весь ввод-вывод только в оперативной памяти, не оставляя следов на диске.
Использование продуктов BoxedApp позволяет существенно снизить вероятность обнаружения антивирусами, препятствует анализу программ и дает доступ к расширенным функциям, которые обычно сложно реализовать самостоятельно.
При этом алгоритмы упаковки BoxedApp хорошо известны, что упрощает их статическое обнаружение. Виртуальные процессы и перехват API также могут вызывать подозрения. Еще одна проблема — высокая частота ложных срабатываний антивирусов на безопасные программы.
Эксперты изучили около 1200 образцов, упакованных BoxedApp и отправленных в VirusTotal за 3 года. Четверть из них были признаны вредоносными на основе поведенческого анализа. На рост злонамеренного использования BoxedApp указывает и график отправок.
При упаковке программа преобразуется в единый самодостаточный PE-файл. Оригинальные импорты уничтожаются и восстанавливаются во время работы через обратный вызов TLS, который также инициализирует виртуальное хранилище и распаковку его содержимого.
Зависимости оригинального приложения могут быть частью проприетарной системы виртуального хранилища — виртуальной файловой системы и виртуального реестра. Механизмы BoxedApp перехватывают операции ввода-вывода, направляя их в виртуальное пространство в памяти и не создавая файлов на диске.
Структура упакованного нативного PE-файла:
Оригинальный PE с уничтоженными импортами (в секции.main)
Виртуальные файлы/реестр (в секции.bxpck)
Библиотеки BoxedApp SDK (bxsdk*, BoxedAppSDK_, ThunkUtils, TLSSupport*)
Структура упакованного.NET PE после Packer:
Нативный Stub файл DotNetAppStub
Оригинальный.NET PE (в секции.bxpck)
Виртуальное хранилище (в секции.bxpck)
Библиотеки BoxedApp SDK
Продукт BxILMerge объединяет.NET-сборки, библиотеки и любые другие файлы в единый управляемый модуль, используя механизмы BoxedApp.
Благодаря анализу бинарных структур BoxedApp эксперты предложили методы распаковки оригинальных файлов и извлечения содержимого виртуального хранилища, в том числе динамический подход с дампом процессов из памяти.
Предоставленные сигнатуры Yara и знания внутренних механизмов BoxedApp позволят улучшить обнаружение вредоносов, скрытых с помощью этих продуктов, которые стремительно набирают популярность у киберпреступников по всему миру.
Никаких овечек — только отборные научные факты