Οι αναλυτές απειλών ανακάλυψαν μια νέα τεχνική obfuscation που χρησιμοποιείται από τη συμμορία Hive ransomware, η οποία περιλαμβάνει διευθύνσεις IPv4 και μια σειρά από μετατροπές που τελικά οδηγούν στη λήψη ενός beacon Cobalt Strike.
Δείτε επίσης: SunCrypt ransomware: Νέα έκδοση με περισσότερες δυνατότητες
Το code obfuscation είναι αυτό που βοηθά τους απειλητικούς φορείς να αποκρύψουν την κακόβουλη φύση του κώδικά τους από ανθρώπους αναθεωρητές ή λογισμικό ασφαλείας, ώστε να μπορούν να αποφύγουν τον εντοπισμό.
Υπάρχουν πολλοί τρόποι για να επιτευχθεί το obfuscation, ο καθένας με τα δικά του πλεονεκτήματα και μειονεκτήματα, αλλά ένας νέος που ανακαλύφθηκε σε μια απόκριση περιστατικού που περιλαμβάνει το Hive ransomware δείχνει ότι οι adversaries βρίσκουν νέους, πιο κρυφούς τρόπους για να επιτύχουν τον στόχο τους.
Οι αναλυτές της Sentinel Labs αναφέρουν τη νέα τεχνική obfuscation, την οποία ονομάζουν «IPfuscation».
Δείτε επίσης: Python ransomware στοχεύει το εργαλείο Jupyter Notebook
Από IP σε shellcode
Οι αναλυτές ανακάλυψαν τη νέα τεχνική κατά την ανάλυση των εκτελέσιμων αρχείων των Windows 64-bit, καθένα από τα οποία περιείχε ένα payload που παρέχει το Cobalt Strike.
Το ίδιο το payload είναι ασαφές λαμβάνοντας τη μορφή μιας συστοιχίας διευθύνσεων IPv4 ASCII, επομένως μοιάζει με μια αβλαβή λίστα διευθύνσεων IP.
Στο πλαίσιο της ανάλυσης malware, η λίστα μπορεί ακόμη και να εκληφθεί εσφαλμένα ως hard-coded C2 communication information.
Όταν το αρχείο μεταβιβάζεται σε μια συνάρτηση μετατροπής (ip2string.h) που μεταφράζει το string σε binary, εμφανίζεται μια μάζα του shellcode.
Δείτε επίσης: Shutterfly: Παραβίαση δεδομένων μετά από επίθεση ransomware Conti
Μόλις ολοκληρωθεί αυτό το βήμα, το malware εκτελεί το shellcode είτε μέσω απευθείας SYSCALL είτε μέσω εκτέλεσης proxying μέσω callback στον user interface language enumerator (winnls.h), με αποτέλεσμα ένα τυπικό σταδιακό σύστημα Cobalt Strike.
Ακολουθεί ένα παράδειγμα από την έκθεση της Sentinel Labs:
Το πρώτο hardcoded IP-formatted string είναι ένα string ASCII “252.72.131.228”, το οποίο έχει binary representation 0xE48348FC (big endian) και η επόμενη “IP” που θα μεταφραστεί είναι “240.232.200.0”, η οποία έχει binary representation του 0xC8E8F0.
Η αποσυναρμολόγηση αυτών των “binary representations” δείχνει την έναρξη του shellcode που δημιουργείται από κοινά penetration testing frameworks.
Οι αναλυτές ανακάλυψαν πρόσθετες παραλλαγές IPfuscation που αντί για διευθύνσεις IPv4 χρησιμοποιούν διευθύνσεις IPv6, UUID και MAC – όλες λειτουργούν με σχεδόν πανομοιότυπο τρόπο με αυτό που περιγράψαμε παραπάνω.
Το πλεονέκτημα από αυτό είναι ότι το να βασίζεσαι αποκλειστικά σε στατικές υπογραφές για τον εντοπισμό κακόβουλου ωφέλιμου φορτίου δεν αρκεί.
Η ανίχνευση συμπεριφοράς, η ανάλυση με τη βοήθεια τεχνητής νοημοσύνης και η ολιστική ασφάλεια endpoint που συγκεντρώνει ύποπτα στοιχεία από πολλά σημεία θα είχαν καλύτερες πιθανότητες να σηκώσουν το lid του IPfuscation, λένε οι ερευνητές.
Η ομάδα απόκρισης περιστατικών της Sentinel Labs παρακολουθεί συνεχώς τακτικές, τεχνικές και τεχνουργήματα πρώιμης χρήσης, με το IPfuscation να είναι απλώς η πιο πρόσφατη τέτοια τεχνική που αναπτύσσεται από δημιουργούς κακόβουλου λογισμικού. Τέτοιες τεχνικές αποδεικνύουν ότι πολλές φορές μια δημιουργική και έξυπνη προσέγγιση μπορεί να είναι εξίσου αποτελεσματική με μια πολύ εξελιγμένη και προηγμένη προσέγγιση, ιδιαίτερα όταν η άμυνα της επιχείρησης βασίζεται σε εργαλεία ασφαλείας που βασίζονται σε στατικές υπογραφές και όχι σε ανίχνευση συμπεριφοράς.
Πηγή πληροφοριών: bleepingcomputer.com
