События сегодня

Хакеры все чаще используют упаковщики для распространения вредоносного ПО

Исследователи кибербезопасности из компании Check Point обнаружили растущую тенденцию использования хакерами коммерческих инструментов упаковки, таких как BoxedApp, для сокрытия и распространения различных вариантов вредоносного ПО. В прошлом году наблюдался значительный рост случаев неправомерного использования продуктов BoxedApp, особенно в результате атак на финансовые учреждения и правительственные организации.

BoxedApp предлагает ряд коммерческих упаковщиков, в том числе BoxedApp Packer и BxILMerge, которые предоставляют расширенные функции, такие как виртуальная память (виртуальная файловая система, виртуальный реестр), виртуальные процессы и универсальная система инструментирования (перехват WIN/NT API). Хотя эти инструменты созданы для законных целей, злоумышленники используют их для упаковки вредоносных данных, уклонения от обнаружения и усложнения анализа.

По данным расследования исследователей, наиболее часто злоупотребляемыми продуктами BoxedApp являются BoxedApp Packer и BxILMerge, оба из которых основаны на BoxedApp SDK. Эти продукты предоставляют злоумышленникам доступ к самым продвинутым функциям SDK, позволяя им создавать собственные уникальные упаковщики, которые используют передовые возможности, оставаясь при этом достаточно разнообразными, чтобы избежать статического обнаружения.

Преимущества использования расширенных уникальных функций BoxedApp SDK перевешивают недостатки использования известного коммерческого упаковщика. Наиболее примечательные функции и возможности включают виртуальную файловую систему, виртуальный реестр, виртуальные процессы (PE-внедрение), SDK для перехвата WIN/NT API, общую упаковку (уничтожение исходного импорта PE, сжатие и т. д.), создание отдельных файловых пакетов и обеспечение того, чтобы все операции ввода-вывода в виртуальной памяти остаются в памяти без каких-либо файлов, передаваемых на диск.

Хотя продукты BoxedApp доступны уже несколько лет, за последний год их неправомерное использование в вредоносных целях значительно возросло, при этом публично не было подтверждено их связь с BoxedApp. Хотя использование коммерческих упаковщиков имеет как преимущества, так и недостатки для злоумышленников, предлагаемые ими расширенные функции, похоже, перевешивают потенциальные недостатки.



Преимущества использования продуктов BoxedApp для распространения вредоносного ПО включают в себя:

  • Надежные, готовые к использованию продукты с расширенными функциями.
  • Доступен BoxedApp SDK для создания пользовательских разнообразных упаковщиков.
  • Собственная виртуальная система хранения (виртуальная файловая система, виртуальный реестр)
  • Создание виртуальных процессов для инъекции PE
  • Простой SDK для подключения WIN/NT API
  • Общая упаковка (уничтожает импортированный оригинальный полиэтилен, выполняет сжатие и т. д.)
  • Создание однофайловых пакетов со всеми зависимостями в виртуальной памяти.
  • Все операции ввода-вывода виртуальной памяти остаются в памяти, что предотвращает потерю файлов на диске.
  • Сложность отличить регулярно упакованные приложения от вредоносно упакованных (высокий уровень ложных срабатываний).

К недостаткам относятся:

  • Простое статическое обнаружение оригинальных продуктов BoxedApp, используемых для упаковки.
  • Общее статическое обнаружение определенных функций SDK, которыми обычно злоупотребляют в злонамеренных целях (например, перехват WIN/NT API, виртуальный процесс — внедрение PE)
  • Высокий уровень ложных срабатываний для невредоносных приложений, упакованных в BoxedApp.

Несмотря на высокий уровень ложных срабатываний, которые могут вызвать расхождения и вызвать обнаружение даже невредоносных приложений, встроенный Защитник Windows и другие лучшие антивирусные решения обычно не затрагиваются.

Исследователи проанализировали около 1200 образцов, упакованных BoxedApps, которые были отправлены в VirusTotal за последние три года и успешно обработаны песочницами VT. Вызывает тревогу тот факт, что 25% этих образцов были идентифицированы как вредоносные на основании их поведения. График отправки этих вредоносных образцов в VirusTotal показывает растущую тенденцию неправомерного использования BoxedApps для распространения вредоносного ПО.

Наиболее часто используемые семейства вредоносных программ включали RAT (трояны удаленного доступа), такие как QuasarRAT, NanoCore, NjRAT, Neshta, AsyncRAT и LodaRAT, а также воров, таких как RevengeRAT, AgentTesla, RedLine и Remcos. Кроме того, были обнаружены случаи использования программ-вымогателей, таких как LockBit.

(Фото Артура Эдельманса)

Смотри тоже: Sonatype обнаруживает вредоносный пакет PyPI «pytoileur».

Хакеры все чаще используют упаковщики для распространения вредоносного ПО

Хотите узнать больше о кибербезопасности и облаке от лидеров отрасли? Посетите выставку Cyber ​​Security & Cloud Expo, которая проходит в Амстердаме, Калифорнии и Лондоне. Это комплексное мероприятие проводится наряду с другими ведущими мероприятиями, включая BlockX, Неделю цифровой трансформации, IoT Tech Expo и AI & Big Data Expo.

Узнайте больше о предстоящих мероприятиях и вебинарах по корпоративным технологиям от TechForge Здесь.

Информация для Вас была полезна?
0
0
0
0
0
0
0

Похожие статьи

Кнопка «Наверх»