Mã độc Fileless mới sử dụng Windows Registry như ổ chứa nhằm tránh sự phát hiện
Một loại Trojan điều khiển từ xa dựa trên JavaScript (RAT), được phát tán thông qua một chiến dịch tấn công phi kỹ thuật đã được phát hiện lén lút sử dụng kỹ thuật “fileless” như một cách nhằm né tránh sự phát hiện và phân tích.
Được đặt định danh DarkWatchman bởi các chuyên gia từ Đội phản gián của Prevailion’s Adversarial (PACT), mã độc này sử dụng một thuật toán tạo tên miền linh hoạt (resilient domain generation algorithm – DGA ) nhằm xác định cơ sở hạ tầng điều khiển và chỉ huy (C2) và nó tận dụng Windows Registry cho tất cả các hoạt động lưu trữ của nó, qua đó cho phép nó vượt qua các công cụ chống mã độc.
Chuyên gia Matt Stafford và Sherman Smith cho biết : “RAT sử dụng các phương pháp mới nhằm gia tăng sự bền bỉ của fileless, hoạt động trên hệ thống cùng với khả năng tự cập nhật và biên tập lại. Điều này cho thấy sự cải tiến trong kỹ thuật mã độc fileless khi mà nó sử dụng registry cho gần như toàn bộ các lưu trữ tạm thời và vĩnh viễn, qua đó nó sẽ không bao giờ ghi thứ gì lên ổ đĩa. Đồng thời cho phép RAT né tránh được sự phát hiện của hầu hết các công cụ bảo mật”.
Theo Prevailion, một tập đoàn (ẩn danh) tại Nga hiện đang là một trong những nạn nhân bị nhắm tới, khi mà một vài mã độc đã được phát hiện kể từ ngày 12/11/2021. Với tính năng cửa hậu và sự bền bỉ, PACT đánh giá rằng DarkWatchman có thể là một công cụ do thám và xâm nhập ban đầu được sử dụng bởi các nhóm ransomware.
Một điểm thú vị của kỹ thuật mới này đó là việc các nhóm ransomware hoàn toàn không cần tuyển dụng các cộng tác viên, những người thường xử lý việc xâm nhập phát tán các mã độc khóa dữ liệu. Việc sử dụng DarkWatchman như bước đầu trong việc triển khai ransomware cũng giúp các tin tặc có thể nắm bắt và giám sát tốt hơn hoạt động của chiến dịch ngoài việc thương lượng tiền chuộc.
Được phát tán qua các email lừa đảo phishing giả mạo là “Thông báo hết hạn dung lượng lưu trữ miễn phí” cho một lô hàng được giao bởi công ty vận chuyển Pony Express của Nga, DarkWatchman cung cấp một cổng xâm nhập ngầm cho các hoạt động độc hại khác. Email này được gửi kèm với một hóa đơn dưới định dạng file ZIP có chứa các mã độc cần thiết để lây nhiễm cho Windows.
Kỹ thuật RAT mới này vừa là một JavaScript RAT fileless và là một keylogger chạy bằng C# cùng lúc, trong đó phần keylogger được lưu trữ ở trong registry nhằm tránh bị phát hiện. Cả hai thành phần này cũng cực kỳ nhẹ, phần mã độc JavaScript chỉ nặng 32kb trong khi phần keylogger chỉ chưa tới 8,5kb.
Các chuyên gia cho biết: “Việc lưu trữ tệp file nhị phân ở trong registry dưới dạng văn bản được mã hóa có nghĩa là DarkWatchman rất bền bỉ và việc thực thi nó vĩnh viễn (không bao giờ) được ghi lại trên ổ đĩa. Điều này cũng có nghĩa là những kẻ điều khiển DarkWatchman có thể cập nhật (hoặc thay thế) mã độc mỗi khi nó được sử dụng”.
Một khi được cài đặt, DarkWatchman có thể thực thi tập tin nhị phân, tải các file DLL, chạy các đoạn mã JavaScript và lệnh PowerShell, upload file lên một server từ xa, tự động cập nhật và thậm chí có thể gỡ RAT và keylogger khỏi máy tính bị nhiễm. Quy trình của JavaScript cũng chịu trách nhiệm cho việc thiết lập tính bền vững bằng cách thiết lập một thời gian biểu tự động chạy mã độc mỗi khi người dùng đăng nhập.
Các chuyên gia cũng cho biết rằng: “Bản thân keylogger không giao tiếp với C2 hoặc ghi lên ổ đĩa. Thay vào đó , nó ghi các keylog vào một khóa registry mà nó sử dụng như một bộ đệm. Trong suốt quá trình hoạt động, RAT quét và xóa vùng đệm này trước khi truyền các tổ hợp phím đã ghi được tới server C2”.
DarkWatchman hiện chưa được liên kết với bất kỳ nhóm hacker nào, tuy nhiên Prevailion mô tả các nhóm này như một “mối đe dọa tiềm tàng”. Ngoài ra họ cũng chỉ ra rằng malware này chỉ nhắm vào các mục tiêu ở Nga, cùng với đó là các lỗi đánh máy và lỗi chính tả được phát hiện trong mã nguồn làm dấy lên khả năng rằng những kẻ điều khiển malware này có thể không phải là người bản địa sử dụng tiếng Anh.
Các chuyên gia đi đến kết luận rằng: “Có vẻ như là tác giả của DarkWatchman đã phát hiện và lợi dụng sự phức tạp cũng như sự mập mờ của Windows Registry để vượt qua sự phát hiện của các công cụ bảo mật và phân tích. Việc thay đổi Registry là rất phổ biến, vì vậy sẽ khá khó để có thể phát hiện sự thay đổi nào là bất thường hoặc nằm ngoài các chứng năng của hệ điều hành và các phần mềm thông thường”.
Theo Thehackernews
The post Mã độc Fileless mới sử dụng Windows Registry như ổ chứa nhằm tránh sự phát hiện appeared first on SecurityDaily .