Cobalt Strike незаметно распространяется через 3 новых загрузчика

• 6 декабря, 2022
• 17:30

Исследователи Palo Alto Unit 42 описали 3 новых загрузчика Cobalt Strike , каждый из которых загружает разные типы имплантатов – SMB (сокр. от англ. Server Message Block) — сетевой протокол для удалённого доступа к файлам, принтерам и другим сетевым ресурсам, а также для межпроцессного взаимодействия.

SMB — это протокол, основанный на технологии клиент-сервер, который предоставляет клиентским приложениям простой способ для чтения и записи файлов, а также для запроса служб у серверных программ в различных типах сетевого окружения.

» data-html=»true» data-original-title=»SMB»>SMB Beacon, DLL — (с англ. Dynamic Link Library, динамически подключаемая библиотека) это библиотека, содержащая код и данные, которые могут использоваться несколькими программами одновременно.

» data-html=»true» data-original-title=»DLL»>DLL Beacon и Стейджер — небольшой исполняемый файл, служащий начальной полезной нагрузкой, которая подготавливает более крупную полезную нагрузку. Стейджер также служит PE-упаковщиком (программой, которая косвенно загружает и выполняет программы из пакета).

» data-html=»true» data-original-title=»Стейджер»>стейджер Cobalt Strike представляет собой фреймворк для проведения тестов на проникновение, позволяющий доставить на компьютер жертвы полезную нагрузку и управлять ею. Злоумышленники могут использовать Cobalt Strike для развертывания атак с расширенными постоянными угрозами (APT) против вашей организации.

» data-html=»true» data-original-title=»Cobalt Strike»>Cobalt Strike.

SMB Beacon (KoboldLoader)

Чтобы обойти песочницы, которые перехватывают только функции пользовательского режима высокого уровня, он вызывает встроенные функции API. Чтобы усложнить анализ, он исполняет функции с помощью хэша вместо использования простых текстовых строк.

KoboldLoader создает дочерний процесс инструмента Windows «sethc.exe», затем создает новый раздел и сопоставляет с ним расшифрованный загрузчик маяка Cobalt Strike. Окончательное выполнение загрузчика Cobalt Strike происходит путем вызова «RtlCreateUserThread».

DLL Beacon (MagnetLoader)

MagnetLoader имитирует законную библиотеку Windows. Все экспортированные функции MagnetLoader вызывают одну и ту же основную подпрограмму вредоносного ПО. При вызове какой-либо функции запускается точка входа DLL, в которой вредоносное ПО загружает оригинальную библиотеку «mscms.dll» и разрешает все подделываемые функции.

Загрузчик маяка Cobalt Strike расшифровывается в буфер памяти и запускается, используя параметр обратного вызова функции Windows API «EnumChildWindows». Вредоносное ПО может злоупотреблять этим параметром, чтобы косвенно вызывать адрес через функцию обратного вызова и скрывать поток выполнения.

Стейджер (LithiumLoader)

LithiumLoader распространяется через легитимный установочный пакет FortiClient VPN, созданный злоумышленником и представленный VirusTotal как «FortiClientVPN_windows.exe». Поскольку файл подписан, он не обнаруживается антивирусным ПО.

Программа установки представляет собой самораспаковывающийся RAR-архив, содержащий следующие файлы:

При запуске установщика все файлы автоматически помещаются в локальную папку «%AppData%» и запускаются оба исполняемых файла. Во время выполнения установщика FortiClient VPN инструмент WinGup дополнительно загружает вредоносную библиотеку «libcurl.dll», импортируя некоторые функции из легитимной копии библиотеки «libcurl».

При компиляции библиотеки LithiumLoader в легитимную библиотеку внедряется вредоносный сценарий одной из функций. Затем эта функция запускает шелл-код стейджера Cobalt Strike косвенно через функцию обратного вызова «EnumSystemGeoID». Шелл-код стейджера Cobalt Strike заимствован из Metasploit — фреймворк с открытым исходным кодом, который позволяет проводить пентест, искать уязвимости в сетях и на серверах. С помощью Metasploit также можно писать и распространять эксплойты.

Благодаря открытому исходному коду, его можно легко настроить и использовать на большинстве операционных систем.