С середины января исследователи отмечают, что новейшие версии зловредов Cerber и Locky научились довольно успешно обходить существующие системы детектирования вредоносного ПО с помощью инфраструктуры, позволяющей скрывать вредоносный код внутри NSIS-инсталлятора и использовать несколько уровней обфускации и шифрования до исполнения кода в памяти.

Неизвестно, как такое стало возможным — из-за продажи необходимой инфраструктуры на теневых форумах или из-за вероятного взаимодействия авторов обоих зловредов. Единственное, что доподлинно известно, так это то, что новейшие версии обоих семейств демонстрируют схожее поведение.

«Злоумышленники всегда стремятся найти ранее неизвестный способ обеспечить исполнение вредоносного кода. Стоит нам выяснить, как работает та или иная техника, они уже разрабатывают новую, — рассказал Том Ниправски (Tom Nipravsky), ИБ-исследователь из Deep Instinct. — В течение последних двух месяцев мы наблюдаем новый тренд — использование NSIS. Мы подозреваем, что это может быть какая-то общая инфраструктура, потому что различные виды вымогателей ведут себя абсолютно одинаково».

Ниправски, автор отчета о последних трендах в мире зловредов, сказал, что новой техникой пользуются не только Cerber (версии 5.1 и 4) и Locky (многих версий), но и различные версии Cryptolocker и Cryptowall.

«Мы предполагаем, что данная инфраструктура продается в глубинах Дарквеба, но не можем быть полностью уверены в этом. Однако это должна быть общая инфраструктура, потому что поведение у всех абсолютно одинаковое, — отметил он. — Тренд наблюдается на протяжении последних двух месяцев; даже новейшие версии Locky и Cerber используют NSIS».

NSIS, сокращение от Nullsoft Scriptable Install System, — это система создания установочных программ для Windows на базе открытого кода. Это ключевой элемент в технике обфускации вредоносного кода в последних вымогательских кампаниях, который позволяет скрыть исполняемый код зловреда от систем детектирования. Согласно отчету Ниправски, плагин SYSTEM в NSIS-инсталляторе вызывает Win32 API, давая атакующему возможность выделить память под исполняемое содержимое и исполнить код заглушки, отвечающий за расшифровку полезной нагрузки.

«Благодаря плагину SYSTEM можно вызывать функции внутри Windows и делать все, что захочется. Злоумышленники выделяют область памяти, внедряют в нее код и затем исполняют его, — сказал Ниправски. — Так как код обфусцирован, налицо лишь код заглушки, ответственный за выполнение XOR над следующей ступенью кода. Защитным решениям не видно, что происходит с самим кодом. Они могут фиксировать лишь то, что делает небольшая заглушка, а она не делает практически ничего, только выполняет операцию XOR над несколькими байтами».

NSIS-инсталлятор предоставляет злоумышленникам простой способ исполнения вредоносного кода, подчеркнул Ниправски. Но, по его словам, это еще не все.

Например, в атаках используется техника Heaven’s Gate для вызова 64-разрядного кода из 32-разрядного процесса, что позволяет обойти хуки на API, используемые в системах детектирования. Heaven’s Gate использует системные вызовы вместо стандартных API, а также задействуется для обфускации кода, так как существующие отладчики не всегда срабатывают хорошо, когда 64-разрядный код исполняется из 32-битного процесса.

Также для запуска инсталлятора в атаках используется техника под названием Process Hollowing. С ее помощью атакующие создают процессы в состоянии ожидания и заменяют образ процесса образом, который хотят скрыть. Инсталлятор зашифрован внутри NSIS-инсталлятора и расшифровывается в ходе исполнения.

«Все происходит внутри памяти. Атакующий создает процесс в состоянии ожидания, заменяет образ процесса образом вымогателя и перенаправляет точку входа нового процесса на вредоносный код, — пояснил Ниправски. — То есть когда процесс возобновляется, он обращается к коду зловреда, а не к изначальному коду».

Ниправски заключил, что создание процессов в состоянии ожидания и перераспределение образов следует считать подозрительной активностью.

«Злоумышленники используют технику Process Hollowing каждый раз по-разному, чтобы осложнить распознавание и отслеживание вредоносной активности, — отметил при этом эксперт. — Исполнять процесс, находящийся в состоянии ожидания, — это нормально. Но если при этом происходит замена образа, это выглядит подозрительно. Я впервые вижу подобное использование данной техники. Сканирование исполняемых файлов антивирусами определяет, можно ли их запускать, но, как только эта проверка пройдена, можно делать что угодно. Этим и пользуются киберпреступники».

Категории: Аналитика, Вредоносные программы, Главное