Η Kaspersky αποκαλύπτει fileless malware μέσα στα αρχεία καταγραφής συμβάντων των Windows

[nnn]

Μια πρωτοφανής ανακάλυψη της Kaspersky θα μπορούσε να έχει σοβαρές συνέπειες για όσους χρησιμοποιούν λειτουργικά συστήματα Windows. Η εταιρεία κυβερνοασφάλειας δημοσίευσε ένα άρθρο στις 4 Μαΐου, στο οποίο περιγράφεται λεπτομερώς ότι - για πρώτη φορά στα χρονικά - χάκερς έχουν τοποθετήσει shellcode στα αρχεία καταγραφής συμβάντων των Windows, κρύβοντας Trojans ως κακόβουλο λογισμικό χωρίς αρχεία.

Η εκστρατεία κακόβουλου λογισμικού χρησιμοποίησε ένα ευρύ φάσμα τεχνικών, όπως εμπορικές σουίτες δοκιμών διείσδυσης και περιτυλίγματα κατά του εντοπισμού, στα οποία συμπεριλαμβάνονταν αυτά που είχαν μεταγλωττιστεί με τη γλώσσα προγραμματισμού Go, καθώς και διάφορα Trojans τελευταίου σταδίου.

Οι ομάδες hacking χρησιμοποίησαν δύο τύπους Trojans για το τελευταίο στάδιο, αποκτώντας περαιτέρω πρόσβαση στο σύστημα. Αυτό παραδόθηκε μέσω δύο διαφορετικών μεθόδων, τόσο μέσω δικτυακών επικοινωνιών HTTP όσο και μέσω της εμπλοκής των named pipes.

Η παλαιότερη περίπτωση απόκρυψης αυτού του κακόβουλου λογισμικού που έλαβε χώρα τον Σεπτέμβριο του 2021, σύμφωνα με την Kaspersky. Οι επιτιθέμενοι κατάφεραν να πείσουν έναν στόχο να κατεβάσει ένα αρχείο .rar μέσω ενός αυθεντικού ιστότοπου, το οποίο στη συνέχεια αποσυμπίεζε αρχεία .dll Trojan στον σκληρό δίσκο του προοριζόμενου θύματος.

Translated with www.DeepL.com/Translator (free version)

Πηγή : Tech Republic

[chat1978]

Έβαλαν κώδικα (shell code) στα event logs. Διαβάζοντας το αγγλικό κείμενο, δεν καταλαβαίνω πως ο κώδικας αυτός εκτελέστηκε. Φαντάζομαι εκτελέστηκε σαν system με βάση το αντίστοιχο Windows service user logon config?

[aiolos.01]

Κάπου το έχω ξαναδιαβάσει αυτό. Ίσως να είναι η ίδια περίπτωση αλλιώς δεν είναι η πρώτη φορά που εμφανίζεται.

[tsigarid]

Και εγώ το θυμάμαι, malware με κώδικα στη μνήμη αντί για το δίσκο. Ίσως αυτό να είναι απλά μία ακόμα απειλή της ίδιας κατηγορίας, ή ίσως τότε παλιά που το διάβαζα να ήταν θεωρητικό, ενώ τώρα το βρήκαν και στην πράξη;

[sdikr]

Κάπου το έχω ξαναδιαβάσει αυτό. Ίσως να είναι η ίδια περίπτωση αλλιώς δεν είναι η πρώτη φορά που εμφανίζεται.

Το άλλο ήταν malware που έμπαινε στην registry
https://thehackernews.com/2021/12/ne...s-windows.html

[Zus]

Η χαρά των EDR λύσεων

[tsigarid]

Το άλλο ήταν malware που έμπαινε στην registry
https://thehackernews.com/2021/12/ne...s-windows.html

Έχεις δίκιο

[zardoz]

Αυτό που λέει το άρθρο (στα γρήγορα) και εδώ πιο αναλυτικά, λέει ότι ουσιαστικά κρύβουν τον "κακό" κώδικα
σε κομμάτια των 8Κbyte στο data part ενός νόμιμου event στον event log.

Η μέθοδος (για όσους ... ενδιαφέρονται ) είναι η WriteEntry(String, String, EventLogEntryType, Int32, Int16, Byte[]) και ΔΕΝ χρειάζεται admin rights.
Χοντρά χοντρά, ακόμα και ένας απλός χρήστης μπορεί να "θάψει" δεδομένα εκεί. Η τελευταία παράμετρος είναι το 8Κ data chunk. Έτσι, αν ήθελα να κρύψω
πχ γυμνές φωτογραφίες της Μαρέβας, θα τις χώριζα σε 8Κ chunks και θα τις έβαζα σε συνεχόμενα (και μη) events της εφαρμογής μου στο log.

[chat1978]

Αυτό που λέει το άρθρο (στα γρήγορα) και εδώ πιο αναλυτικά, λέει ότι ουσιαστικά κρύβουν τον "κακό" κώδικα
σε κομμάτια των 8Κbyte στο data part ενός νόμιμου event στον event log.

Η μέθοδος (για όσους ... ενδιαφέρονται ) είναι η WriteEntry(String, String, EventLogEntryType, Int32, Int16, Byte[]) και ΔΕΝ χρειάζεται admin rights.
Χοντρά χοντρά, ακόμα και ένας απλός χρήστης μπορεί να "θάψει" δεδομένα εκεί. Η τελευταία παράμετρος είναι το 8Κ data chunk. Έτσι, αν ήθελα να κρύψω
πχ γυμνές φωτογραφίες της Μαρέβας, θα τις χώριζα σε 8Κ chunks και θα τις έβαζα σε συνεχόμενα (και μη) events της εφαρμογής μου στο log.

Οκει. Η εκτέλεση του όμως πως γίνεται; Εγώ αυτό δεν κατάλαβα