Северная Корея перерабатывает вредоносные программы для Mac. Это ещё не самое худшее

security-top_art-reusing_malware-484363562

Хакеры «Lazarus Group» долгое время наносили ущерб в интернете, используя как минимум один инструмент, который они нашли в интернете.

В течение многих лет, хакеры «Lazarus Group»из Северной Кореи грабили в мировом интернете, мошенничали и заражали цифровые устройства по всему миру с целью шпионажа, получения прибыли и умышленных махинаций. Одно из избранных ими оружий являлся так называемый «активатор», позволяющий тайно запускать разнообразные вредоносные программы на целевых компьютерах Mac практически без возможности их отследить. Но «Lazarus Group» не изобрел «активатора» самостоятельно. Похоже, что группа хакеров обнаружила его в сети и перепрофилировала его, чтобы повысить уровень атак.

Вероятность повторного использования вредоносных программ хорошо известна. Как сообщает Агентство Национальной Безопасности, оно повторно использует вредоносные программы, как и спонсируемые государством хакеры из Китая, Северной Кореи, России и других стран. Но во вторник на конференции по мерам обеспечениям безопасности в г. Сан-Франциско, бывший аналитик Агентства Национальной Безопасности и исследователь «Jamf», Патрик Уордл покажет наиболее востребованный пример того, насколько широко распространено и повсеместно повторное использование вредоносных программ, даже на компьютерах Mac, и насколько важно серьезно отнестись к этой угрозе.

«Вы используете вредоносные программы, которые создал кто-то другой, испытываете их, а затем перенастраиваете так, чтобы можно было перезапустить их», – говорит Уордл. «Зачем вам разрабатывать что-то новое, если агентства, состоящие из трёх букв, и другие группы создают просто невероятные вредоносные программы, которые многофункциональны, полностью протестированы, и много раз даже уже были опробованы на практике».

Исследователи видели, как в 2016 и 2018 годах «Lazarus Group» использовала ранние итерации «активатора», и этот инструмент продолжал дорабатываться и совершенствоваться. Однажды «Lazarus Group» обманом заставил жертву установить «активатор», обычно, через мошенничество или другую аферу,что позволило выйти на сервер злоумышленника. В ответ сервер посылает кодированное программное обеспечение «активатору» для декодирования и запуска.

Уордл рассмотрел загрузку особенно привлекательной, поскольку она предназначена для запуска любой «полезной (коммерческой) загрузки» или же вредоносной программы, которую она загружает непосредственно в памяти компьютера с произвольным доступом, а не на жесткий диск. Известная как безфайловая атака вредоносных программ, она значительно затрудняет обнаружение вторжения или распознает инцидент позже, потому что вредоносная программа не оставляет записей о том, что она когда-либо была установлена в системе. Сам Уордл указывает на то, что активатор, инструмент атаки «первой стадии», является средством диагностики «полезной (коммерческой) загрузки», то есть, можно использовать его для запуска любого типа атаки «второй стадии» на целевую операционную систему. Но «Lazarus Group» не разработал всех этих впечатляющих трюков самостоятельно.

«Весь код, реализующий загрузку в памяти, на самом деле был взят из записи компании «Cylance» и из проекта «Git Hub», где они выпустили часть открытых исходных кодов в рамках исследования» – говорит Уордл. Cylance – это антивирусная компания, которая также проводит исследования угроз. «Когда я анализировал активатор«Lazarus Group», я нашел практически точное совпадение. Интересно, что программисты «Lazarus Group» либо искали это в браузере Google, либо видели презентацию об этом на конференции «Infiltrate» в 2017 году, или что-то в этом роде».

Это повторное использование иллюстрирует преимущества для злоумышленников переработки сложных вредоносных программ, независимо от того, исходят ли они от спецслужб или от исследований с открытым исходным кодом. Украденный инструмент для взлома Windows Eternal Blue, разработанный АНБ (Агентство Национальной Безопасности), а затем украденный в 2017 году, печально известен практически всем хакерским группам, начиная от Китая и России и заканчивая преступными синдикатами. Но в то время как переработка является широко известной хакерской практикой, Уордл отмечает, что абстрактного знания недостаточно. Он утверждает, что профессионалам в области информационной безопасности необходимо целенаправленно фокусироваться на механике процесса, чтобы преодолеть недостатки существующих средств защиты и методов обнаружения вредоносного ПО.

Используйте защиту, основанную на подписи, которая «снимает отпечатки пальцев» свредоносных программ и добавляйте этот идентификатор в черный список. Регулярное сканирование антивирусных и вредоносных инструментов, которые полагаются на выявление «отпечатков», как правило, не выявляют повторно используемые вредоносные программы, потому что даже незначительное изменение нового злоумышленника изменяет «отпечаток» программы.

Вредоносная программа обычно настраивается на проверку через Интернет с помощью удаленного сервера – так называемого «командно-контрольного сервера» – чтобы узнать, что делать дальше. В некоторых случаях злоумышленникам приходится тщательно перерабатывать найденные вредоносные программы для их повторного использования, но часто, как и в случае с активатором «Lazarus», они могут просто вносить небольшие изменения, такие как изменение адреса командной строки, чтобы указать на свой собственный сервер, а не на исходный разработчик. Переработчикам все еще нужно сделать достаточный анализ, чтобы убедиться, что авторы вредоносной программы не разработали способ возврата вредоносной программы на исходный управляющий сервер, но как только они будут уверены, что стерли предыдущих владельцев, они могут взять на себя полный контроль.

«Вот почему я считаю, что обнаружение на основе системыбезопасного поведения так важно»– говорит Уордл, представивший в прошлом году в мерах обеспечения безопасности новые методы обнаружения на основе поведения в операционных системах Mac. «С точки зрения поведения, перепрофилированные вредоносные программы выглядят и действуют точно так же, как и их предшественники. Поэтому нам нужно мотивировать сообщество инструментов безопасности на то, чтобы шагать все дальше и дальше от обнаружения на основе «отпечатков», потому что это недопустимо, если переместить вредоносное ПО и оно останется незамеченным. Перепрофилированные вредоносные программы не должны представлять никаких дополнительных угроз».

Переработанные вредоносные программы, также могут быть сомнительно подлинными, это хорошо знают все российские первоклассные хакеры. Если определенное лицо разрабатывает вредоносную программу с торговой маркой, можно легко предположить, что вся деятельность, использующая этот инструмент, принадлежит к одной и той же группе.

Однако такая анонимность, очевидно, является одной из многих преимуществ для злоумышленников, благодаря повторному использованию вредоносных программ. Вот почему Уордл подчеркивает необходимость постоянного внимательного отслеживания такой переработки.

«Активатор первой ступени «Lazarus Group» мне кажется идеальным примером для изучения» – говорит Уордл. «Он демонстрирует то, чтоимея возможность перепрофилировать выборку, среднестатистический хакер может использовать продвинутые вредоносные программы для достижения своих собственных целей, а распознавание на основе «отпечатков» не сможет его поймать».

Перевод выполнила Светлана Дрыгина.

Источник: https://www.wired.com/story/malware-reuse-north-korea-lazarus-group/

You can comment this article, but links are not allowed.

Оставить комментарий

Яндекс.Метрика