Les pirates cachent désormais les logiciels malveillants dans les journaux d'événements Windows

  • Principal
  • Nouvelles
  • Les pirates cachent désormais les logiciels malveillants dans les journaux d'événements Windows

Les chercheurs en sécurité ont remarqué une campagne malveillante qui utilisait les journaux d'événements Windows pour stocker des logiciels malveillants, une technique qui n'avait pas encore été publiquement documentée pour les attaques dans la nature.

La méthode a permis à l'auteur de la menace à l'origine de l'attaque d'implanter des logiciels malveillants sans fichier sur le système de fichiers dans une attaque dotée de techniques et de modules conçus pour maintenir l'activité aussi furtive que possible.

Ajouter des charges utiles aux journaux d'événements Windows

Les chercheurs de Kaspersky ont collecté un échantillon du logiciel malveillant après qu'un produit de l'entreprise équipé d'une technologie de détection basée sur le comportement et de contrôle des anomalies l'a identifié comme une menace sur l'ordinateur d'un client.

L'enquête a révélé que le logiciel malveillant faisait partie d'une campagne 'hautement ciblée' et s'appuyait sur un large éventail d'outils, à la fois personnalisés et disponibles dans le commerce.
L'une des parties les plus intéressantes de l'attaque consiste à injecter des charges utiles de shellcode dans les journaux d'événements Windows pour les services de gestion des clés (KMS), une action complétée par un compte-gouttes de logiciels malveillants personnalisé.

Denis Legezo, chercheur principal en sécurité chez Kaspersky, affirme que cette méthode a été utilisée 'pour la première fois' dans la nature 'au cours de la campagne malveillante'.

Le compte-gouttes copie le fichier légitime de gestion des erreurs du système d'exploitation WerFault.exe dans ' C:WindowsTareas 'puis déposer une ressource binaire cryptée dans' qui.dll '(Rapport d'erreurs Windows) au même endroit, pour le piratage de l'ordre de recherche DLL afin de charger du code malveillant.

Le détournement de DLL est une technique de piratage qui exploite des programmes légitimes avec des contrôles insuffisants pour charger une bibliothèque de liens dynamiques (DLL) malveillante à partir d'un chemin arbitraire dans la mémoire.

Legezo dit que le but du compte-gouttes est de charger sur le disque pour le processus de chargement latéral et de rechercher des enregistrements particuliers dans les journaux d'événements (catégorie 0x4142 - 'AB' en ASCII. Si aucun enregistrement de ce type n'est trouvé, il écrit des morceaux de 8 Ko de fichiers cryptés shellcode, qui est ensuite combiné pour former le code du scénario suivant.

'Ceux qui sont tombés qui.dll c'est un chargeur et il ne ferait aucun mal sans le shellcode caché dans les journaux d'événements Windows' - Denis Legezo, chercheur principal en sécurité chez Kaspersky

La nouvelle technique discutée par Kaspersky est probablement en passe de devenir plus populaire car Soumyadeep Basu, actuellement stagiaire de Mandiant Red Team, a créé et publié sur GitHub le code source pour injecter des charges utiles dans les journaux d'événements Windows.

acteur techniquement avancé

Sur la base des différentes techniques et modules (suites de tests d'intrusion, wrappers anti-détection personnalisés, chevaux de Troie en phase finale) utilisés dans la campagne, Legezo déclare que l'ensemble de la campagne 'semble impressionnant'.

Il a déclaré à BleepingComputer que 'l'acteur derrière la campagne est assez habile par lui-même, ou du moins dispose d'un bon ensemble d'outils de trading assez profonds', indiquant un adversaire de niveau APT.

Parmi les outils utilisés dans l'attaque figurent les frameworks commerciaux de test d'intrusion Cobalt Strike et NetSPI (anciennement SilentBreak).

Bien que certains modules d'attaque soient considérés comme personnalisés, le chercheur note qu'ils peuvent faire partie de la plate-forme NetSPI, pour laquelle une licence commerciale de test n'était pas disponible.

Par exemple, deux chevaux de Troie nommés ThrowbackDLL.dll et SlingshotDLL.dll peuvent être des outils portant le même nom et connus pour faire partie du cadre de test d'intrusion SilentBreak.

'Nous avons commencé l'enquête à partir de la dernière étape en mémoire puis, grâce à notre télémétrie, nous avons pu reconstituer plusieurs chaînes d'infection' - Denis Legezo

L'enquête a retracé la phase initiale de l'attaque jusqu'en septembre 2021, lorsque la victime a été amenée à télécharger un fichier RAR à partir du service de partage de fichiers file.io.

L'auteur de la menace a ensuite diffusé le module Cobalt Strike, qui a été signé avec un certificat d'une société appelée Fast Invest ApS. Le certificat a été utilisé pour signer 15 fichiers et aucun d'entre eux n'était légitime.

Dans la plupart des cas, le but ultime des logiciels malveillants ciblés avec une telle fonctionnalité de phase finale est d'obtenir des données précieuses des victimes, a déclaré le chercheur à BleepingComputer.

Lors de l'étude de l'attaque, Kaspersky n'a trouvé aucune similitude avec les campagnes précédentes associées à un acteur menaçant connu.

Jusqu'à ce qu'une connexion avec un adversaire connu soit établie, les chercheurs suivent une nouvelle activité sous le nom de SilentBreak, du nom de l'outil le plus utilisé dans l'attaque.

Qu'est-ce que tu penses?