Gli hacker utilizzano falsi log degli errori di Windows per nascondere il payload dannoso
21 Giugno 2020 - Tempo di lettura: 11 minuti
Gli hacker stanno utilizzando log di errori falsi per archiviare caratteri ASCII mascherati da valori esadecimali che vengono decodificati in un payload dannoso progettato per preparare il terreno per attacchi basati su script.
Il trucco fa parte di una catena più lunga con comandi intermedi PowerShell che alla fine fornisce uno script per scopi di ricognizione.
Leggere tra le righe
Il fornitore di rilevamento delle minacce MSP Huntress Labs ha scoperto uno scenario di attacco in cui un attore di minaccia con persistenza su una macchina bersaglio ha cercato di eseguire un trucco insolito per proseguire con la propria routine di attacco.
L'attaccante aveva già ottenuto l'accesso al sistema di destinazione e raggiunto la persistenza. Da questa posizione, hanno usato un file chiamato "a.chk" che imita un registro di Windows di erro per un'applicazione. L'ultima colonna mostra quelli che sembrano essere valori esadecimali.
Queste sono rappresentazioni decimali di caratteri ASCII, comunque. Una volta decodificati, creano uno script che contatta il server di comando e controllo per il passaggio successivo dell'attacco.
Una rapida occhiata al finto file di registro probabilmente non solleverà alcun flag poiché i dati includono timestamp e riferimenti per il numero di versione interno di Windows, afferma oggi John Ferrell, vicepresidente di ThreatOps presso Huntress Labs.
“A prima vista, sembra un registro per alcune applicazioni. Ha i timestamp e include riferimenti a OS 6.2, il numero di versione interno per Windows 8 e Window Server 2012 ”- John Ferrell
Un'ispezione più ravvicinata rivela il trucco usato dall'attore per estrarre la parte rilevante di dati (i caratteri numerici) e costruire il payload codificato. Di seguito puoi vedere come i numeri si convertono in testo per formare lo script.
Ferrell spiega che il payload viene ottenuto utilizzando un'attività pianificata che impersona una persona legittima sull'host (solo una lettera fa la differenza) e condividendone la descrizione. Sono coinvolti due eseguibili, entrambi rinominati copie di file legittimi per apparire innocui.
Utilizzando nomi di file legittimi
Uno si chiama "BfeOnService.exe" ed è una copia di "mshta.exe", un'utilità che esegue Microsoft HTML Applications (HTA) che è stata abusata per la distribuzione di file HTA dannosi. In questo caso, esegue un VBScript per avviare PowerShell ed eseguire un comando al suo interno.
L'altro ha il nome engine.exe "ed è una copia di" powershell.exe ". Il suo scopo è quello di estrarre i numeri ASCII nel registro falso e convertirli per ottenere il payload. Ecco come funzionano:
Ferrell nota che lo script decodificato in questo modo applica una patch in memoria all'Antimalware Scan Interface (AMSI) per bypassarlo. AMSI aiuta i programmi antivirus a rilevare attacchi basati su script.
Un secondo comando che funge da downloader viene eseguito per recuperare un altro comando PowerShell con la stessa funzione. Alla fine della catena c'è un payload che raccoglie informazioni sul sistema compromesso.
Non è chiaro cosa stia cercando l'attaccante, ma l'ultimo script raccoglie i dettagli sui browser installati, i prodotti generali e specifici per la preparazione delle tasse e i prodotti di sicurezza (Lacerte, ProSeries, Kaspersky, Comodo, Defender) e il software del punto vendita.
Mentre questo è ben lungi dall'essere un attacco sofisticato, mostra che i criminali informatici esploreranno tutti i percorsi per ottenere un punto d'appoggio su una rete di destinazione e sviluppare il loro attacco in modi creativi che probabilmente pagheranno in alcuni casi.
