Рециклирани вируси за нови дни - едни от най-опасните оръжия на хакерските групи

От години севернокорейските хакери от Lazarus Group са грабили и плячкосвали из глобалния интернет, извършвайки хиляди измами и заразявайки дигитални устройства по цял свят с цел шпионаж, печалба и саботаж.

Едно от предпочитаните от тях оръжия е т.нар. "лоудър", който им позволява под прикритие да изпълняват широка гама от зловредни програми на таргетирани Mac компютри, почти без да оставят следи. Lazarus обаче не са създали сами въпросния "лоудър". Групата изглежда просто го е открила достъпен онлайн и го е приложила, за да подсили атаките си.

Достатъчно добре е доказано, че зловредният софтуер може да се използва повторно. Твърди се, че американската Агенция за национална сигурност (NSA) използват повторно зловреден софтуер, както и че това правят подкрепяни от държавите си хакери от Китай, Русия, Северна Корея и други страни.

Но на конференцията по сигурност RSA в Сан Франциско в края на февруари, бившият анализатор от NSA Патрик Уордъл демонстрира особено въздействащ пример за това колко масова и могъща е повторната употреба на зловреден софтуер, дори и върху Mac - и колко жизненоважно е заплахата да бъде приемана насериозно.

"Вземате зловреден софтуер, създаден от някой друг, анализирате го и после го преконфигурирате, така че да можете да го приложите наново", обяснява Уордъл. И задава въпроса защо да се разработва нов софтуер, когато "трибуквени агенции и други групи създават невероятен зловреден софтуер, който е пълнофункционален, изцяло тестван и много често дори е изпробван в реални условия".

Изследователи наблюдават как Lazarus Group да използват ранни версии на лоудъра през 2016-а и 2018 г., като инструментът е продължил да еволюира и да се развива.

След като Lazarus подмамят жертвата да инсталира лоудъра - обикновено чрез фишинг или друг тип измама - той се свързва със сървъра на атакуващите. Сървърът отговаря, като изпраща криптиран софтуер, който лоудърът да разкодира и изпълни.

Лоудърът, анализиран от Уордъл, е особено привлекателен за хакерите, защото е проектиран по такъв начин, че да прониква директно в паметта със случаен достъп (RAM) на компютъра, вместо да го инсталира на твърдия диск.

Известен като "безфайлова атака чрез зловреден софтуер", този тип пробив прави много по-трудно откриването му, или последващото разследване на инцидента, защото зловредният софтуер не оставя дири от инсталиране в системата.

Уордъл изтъква, че лоудърът, инструмент за атака в "първи етап", е необвързан със специфичен "опасен товар", което означава, че можете да го използвате, за да изпълните какъвто тип атака от "втори етап" желаете на системата на жертвата. Lazarus обаче не са измислили всички тези впечатляващи трикове.

"Всичкият код, който реализира лоудъра в паметта, всъщност е взет от блогпост на Cylance и GitHub проект, където те са публикували отворен код като част от свое изследване," казва Уордъл. Cylance са антивирусна фирма, която също така извършва проучвания на заплахи.

"Когато анализирах лоудъра на Lazarus Group, открих на практика пълно съответствие. Интересно е, че програмистите на Lazarus Group или са търсили за това в Google, или са видели презентация за лоудъра на конференцията Infiltrate през 2017 г.", допълва той.

Тази повторна употреба илюстрира изгодите от рециклирането на комплексни зловредни инструменти за хакерите - независимо дали тези инструменти идват от разузнавателни агенции или проучвания с отворен код.

Откраднатият хакерски инструмент EternalBlue за Windows, разработван от NSA и впоследствие откраднат и публикуван през 2017 г., нашумя с употребата му от почти всяка съществуваща хакерска група - от такива в Китай и Русия до престъпни синдикати. Но докато рециклирането е широко разпространена хакерска практика, Уордъл изтъква, че абстрактната информираност за него не е достатъчна.

Той твърди, че професионалистите в областта на сигурността трябва да се фокусират по смислен начин върху механиката на процеса, така че да преодолеят недостатъците на съществуващите защити и методи за откриване на зловреден софтуер.

Да вземем например базираните на сигнатура защити, които работят, правейки на практика "отпечатък" от различни зловредни програми, и добавят този идентификатор към "черен списък".

Обикновените антивирусни програми и инструменти за сканиране за зловреден софтуер, които разчитат на сигнатури, обикновено не успяват да разкрият повторно използвания зловреден софтуер, защото дори незначителни корекции в него, извършени от нов атакуващ, променят "сигнатурата" на програмата.

Зловредният софтуер обикновено е настроен да се свързва през интернет с отдалечен сървър - така наречен "сървър за управление и контрол" - за да разбере какво да прави.

В някои случаи атакуващите се налага да преработват из основи открит зловреден софтуер, но често, както е в случая с лоудъра на Lazarus, те могат просто да направят скромни корекции, като промяна на адреса за управление и контрол, за да го насочат към собствения си сървър, вместо към този на първоначалния разработчик.

Рециклиращите все пак трябва да извършат достатъчен анализ, за да се уверят, че авторите на зловредния софтуер не са предвидили начин той да се върне към първоначалния управляващ сървър, но след като са сигурни, че са премахнали предишните собственици, те могат да поемат пълен контрол.

"От поведенческа гледна точка, рециклираният зловреден софтуер изглежда и се държи точно като своя предшественик. Трябва да мотивираме общността на разработчици на инструменти за сигурност да се откажат от базирано на сигнатура откриване на заплахи, защото е неприемливо повторно използван зловреден софтуер да остава неоткрит. Рециклираният зловреден софтуер не би трябвало да може да създава допълнителни заплахи", допълва още експертът Уордъл.

Рециклираният зловреден софтуер също така има и потенциала да размива авторството на атаките, както добре знаят руските елитни хакери. Ако дадени хакери разработят "емблематичен" за тях зловреден софтуер, лесно е да се приеме, че всичките пробиви, при които се използва този инструмент, идват от същата група.

Тази анонимност обаче очевидно е от полза за атакуващите, и е една от многото изгоди, идващи от повторната употреба на зловреден софтуер. Затова и Уордъл подчертава необходимостта от следене отблизо на подобно рециклиране с течение на времето.

Новините

Най-четените