Naujoji „Serpent“ kenkėjiška programa naudoja neįprastą įsiskverbimo taktiką

Saugumo tyrinėtojai atrado neseniai vykusią kampaniją, skirtą naujos kenkėjiškos programos, pavadintos Serpent, platinimui. Įrankiai ir metodai, naudojami siekiant įsiskverbti į jo aukas, išskiria „Serpent“ iš daugiau pėstiesiems skirtų kenkėjiškų programų.

Tyrimų komanda su saugos kompanija „Proofpoint“ seka kenkėjiškų programų kampaniją, platinančią „Serpent“ į taikinius Prancūzijoje. Komanda „Serpent“ apibūdina kaip „pažangią“ kenkėjišką programą, kuri naudoja neįprastą taktiką.

Gyvatė pradeda nuobodžiauti, išsivysto į neįprastą

Kenkėjiška „Serpent“ programa platinama naudojant el. pašto vilioklius ir įvairius kenkėjiškus failus, kad būtų pristatytas naudingas krovinys. Čia ne viskas įdomu. Tačiau nuo pradinio įsiskverbimo taško iki galutinio naudingojo krovinio pristatymo Serpent daug slankioja, kad išvengtų aptikimo, ir naudoja taktiką, kurios, pasak mokslininkų, dar nebuvo susidūrę.

„Serpent“ užsikrėtimo grandinę pradeda labai kasdieniškai – el. laiškais, kuriuose yra jaukų ir kenkėjiškų priedų su VB makrokomandomis. Kenkėjiškų el. laiškų pavadinimuose ir teksto tekste naudojamai socialinei inžinerijai taikomi bendrieji Europos Sąjungos duomenų apsaugos reglamentai.

Kai makrokomanda vykdoma, ji pasiekia URL, kuris atrodo kaip vaizdas, bet naudoja steganografiją, kad tarp duomenų paslėptų PowerShell scenarijų. Scenarijus toliau koduojamas naudojant base64.

Pirmas dalykas, kurį daro scenarijus, yra atsisiųsti ir įdiegti „Chocolatey“ – programinės įrangos automatizavimo įrankį, veikiantį sistemoje „Windows“, naudojamą vykdomųjų failų paketams kurti. Šiuo metu nėra jokios kenksmingos apkrovos – „Chocolatey“ atsisiuntimas yra teisėtas įrankis, kuris beveik neabejotinai apeis automatinę apsaugą.

Chocolatey naudojamas įdiegti Python ir konkretų komponentą, pavadintą pip, ir naudojamas paketų valdymui. Kitas žingsnis yra įdiegti skirtingas priklausomybes nuo tikslinės sistemos, įskaitant tą, kuri leidžia perduoti duomenis per tarpinius serverius.

Tas pats „PowerShell“ scenarijus pasiekia kitą vaizdo URL, dar kartą naudojant steganografiją, kad paslėptų „Python“ scenarijų, vėl užkoduotą „base64“. Scenarijus pavadintas taip, kad imituotų „Microsoft“ saugos komponentą, pavadintą „MicrosoftSecurityUpdate.py“. Python scenarijus savo ruožtu vykdomas per paketinį failą, sukurtą naudojant originalų PowerShell scenarijų.

Kenkėjiškos programinės įrangos tolesnis elgesys taip pat yra labiau įprastas, tačiau dėl neįprastos taktikos ir kelių teisėtų įrankių, skirtų galutiniam kroviniui pristatyti, įdiegimas daro „Serpent“ dėmesio vertą. Galutinė naudingoji apkrova taip pat yra unikali nauja kenkėjiškos programos dalis.