Hakeri zloupotrebljavaju maliciozni softver za različite nezakonite namjere, uključujući krađu podataka, ometanje sistema, špijunažu ili izobličavanje radi neetičkih novčanih koristi.
Osim toga, ovaj maliciozni softver također pomaže u vođenju sajber ratovanja u određenoj zemlji.
SmokeLoader je svestran i modularan maliciozni softver koji je u početku funkcionisao kao downloader. Razvio se u sofisticirani okvir sa mogućnostima krađe informacija.
Tokom godina, prolazi kroz značajan razvoj. Analiza Zscaler ThreatLabz-a podržala je Operaciju Endgame 2024. godine, dezinfikujući desetine hiljada infekcija, i opširno je dokumentovala verzije SmokeLoadera.
SmokeLoader – Modularni maliciozni softver
Počevši od 2011. godine, najraniji uzorci SmokeLoadera bez ikakvih brojeva verzija bili su prilično jednostavni, ali su postavljali osnovu za komunikaciju C2 klijenta.
Ove “praistorijske” varijante imale su dva shell koda ubačena u procese svchost.exe koji su uključivali jedan sa “getload” ili “getgrab” komandama za ispitivanje C2 servera i drugi bot za registraciju koristeći HTTP GET zahtjeve.
Maliciozni softver je prošao kroz različite tehnike ubrizgavanja u rasponu od zajedničkih sekcija do ubrizgavanja APC reda.
Iako jednostavni po prirodi, ovi početni koraci postavljaju osnovu za kasniji razvoj SmokeLoadera u modularne i napredne prijetnje.
.webp)
Procurjeli izvorni kod panela SmokeLoader 2012 pokazao je da podržava različite komande, uključujući “getgrab” za preuzimanje modula koji se koristi za krađu informacija i “getshell” za implementaciju udaljene ljuske.
API rezolucija zasnovana na hashu, enkripcija stringova i drugi napravljeni su kako bi spriječili proces analize.
Do 2014. godine, značajne promjene su implementirane u SmokeLoader programu, kao što je proces učitavanja u više faza, ažurirani algoritam za generisanje ID-a bota, posebna šifrovana C2 lista i nova komponenta stagera.
Zbog toga će sljedeće verzije dijela za krađu malicioznog softvera biti razdvojene u samostalne dodatke sa višenamjenskim opcijama za pravilno izvršenje.
Ovo je ilustrovalo da SmokeLoader nikada nije bio statičan, već se uvijek razvijao sa sofisticiranijim izbjegavanjima i proširivanjem svojih karakteristika.
U SmokeLoader verziji 2014, komponenta stager sadrži funkciju dešifriranja i dekompresije glavnog modula.
Takođe izvršava nekoliko provjera anti-analize i ubrizgava maliciozni softver u svchost.exe putem ubrizgavanja koda APC reda čekanja.
Osnovne primijenjene tehnike zamagljivanja uključuju nepolimorfne petlje za dešifrovanje i enkripciju nizova.
Modifikovan je kako bi omogućio postojanost, ažuriran je algoritam za generisanje ID-a bota, zadržao nizove u običnom tekstu, implementirao provjere okruženja u odnosu na alate za analizu i uveo mehanizam zaštite od kopiranja zasnovan na vrijednostima CRC32.
Mrežni protokol je promijenjen tako da se šifrovane komande i argumenti mogu slati putem HTTP POST zahtjeva.
Ovo označava jedan od značajnih evolucijskih napredaka koje je napravio SmokeLoader.
Izvor: CyberSecurityNews