Introduzione
Le minacce in continua evoluzione aggiungono livelli di complessità per nascondere la loro natura dannosa ed eludere le soluzioni di sicurezza. Al giorno d'oggi, gli attori delle minacce forniscono malware a più livelli che possono volare sotto il radar, non mostrando alcun comportamento dannoso fino alle fasi finali della distribuzione.
Le minacce informatiche multistrato comportano più fasi, impiegano tecniche di offuscamento e crittografia e persino tattiche adattive in cui il comportamento e la funzionalità del malware si evolvono in base al sistema della vittima. Un rilevamento e una risposta efficaci a queste minacce richiedono una comprensione completa del comportamento del malware, che richiede tempo e risorse significative.
To deal with multi-layered attacks, OPSWAT MetaDefender Aether follows a holistic approach that combines a unique emulation-based adaptive threat analysis technology together with advanced detection and threat intelligence capabilities.
Combinare analisi statiche e dinamiche per sconfiggere il malware sofisticato
The MetaDefender Aether engine stands at the forefront of threat detection, seamlessly combining static and dynamic analysis techniques to thwart even the most sophisticated attacks.
- Deep Structure Analysis: una valutazione statica iniziale dei file che fornisce capacità di rilevamento precoce per oltre 50 tipi di file supportati ed estrae il contenuto attivo incorporato per ulteriori analisi.
- Analisi dinamica dei contenuti: ispeziona e analizza il contenuto e il contesto di e-mail, pagine web e documenti per svelare attività dannose nascoste, compresi gli URL sospetti. Si tratta di una misura di protezione particolarmente utile contro gli attacchi di phishing.
- Adaptative Threat Analysis: analisi dinamica basata sull'emulazione che mantiene il controllo sul flusso di esecuzione del malware, anche quando è progettato per colpire un ambiente specifico. Supporta i file Office, gli eseguibili portatili e gli script più comuni.
Si noti che tutti i moduli confluiscono l'uno nell'altro, garantendo uno scambio continuo di analisi e informazioni.
Tutte queste tecnologie svolgono un ruolo cruciale fornendo una visione senza precedenti dei diversi livelli di attacco, adattandosi in tempo reale agli ambienti mirati per valutare con precisione le moderne minacce informatiche e generando un insieme affidabile di Indicatori di Compromissione (IOC) convalidati rispetto a MetaDefender Cloud, alle informazioni aggiornate sulle minacce e alle relative Tattiche, Tecniche e Procedure (TTP).
Sfruttare la potenza di MetaDefender Advanced Threat Detection
Il seguente caso d'uso esemplifica come più moduli del motore di rilevamento delle minacce lavorino di concerto per colpire Cobalt Strike (CS), un simulatore di malware avanzato, ed estrarre informazioni di grande valore.
CS è uno strumento commerciale di accesso remoto progettato per eseguire attacchi mirati ed emulare le azioni post-exploitation di attori di minacce avanzate. Le versioni craccate di CS sono ampiamente utilizzate dagli attori delle minacce e consentono loro di distribuire un agente in-memory (beacon) sull'host vittima senza toccare il disco. Il beacon CS supporta la comunicazione comune e di controllo (C2) su diversi protocolli e una serie di funzionalità, tra cui l'escalation dei privilegi, il dumping delle credenziali, il movimento laterale e l'esfiltrazione dei dati.
CS is delivered in myriad varieties, each presenting its own unique challenges for detection and analysis. MetaDefender Aether adapts to these new delivery methods to detect highly obfuscated and encrypted malware, giving us a deep understanding of its functionality and extracting high value IOC and TTPs.
Panoramica dei campioni
Il campione analizzato è un file eseguibile portatile (PE) compilato con Pyinstaller che scarica di nascosto un PE stager di Cobalt Strike da un host dannoso. Quindi, lo stager PE decifra il beacon CS incorporato e lo inietta nella memoria, avviando la comunicazione con C2.
Strato 1: PE compilato con Pyinstaller
PyInstaller raggruppa un'applicazione Python e tutte le sue dipendenze in un unico pacchetto, consentendo all'utente di eseguire l'applicazione senza installare un interprete Python o alcun modulo, una proposta interessante per i creatori di malware.
A static analysis of this file will only yield a lot of useless noise instead of focusing on its malicious behavior. MetaDefender Aether unpacks and extracts the compiled bytecode (pyc) files and embedded artifacts used by the original python code. Then, it decompiles the pyc files to get the original python code, which allows us to detect threat indicators and extract high value IOCs.
Pyinstaller needs a specific unpacking process that is not supported even by the most common file archivers MetaDefender Aether now includes a built-in python unpacking feature, which also supports other common python compilers such us Nuitka and Py2exe.
Questa nuova funzione ci aiuta a bypassare questo primo strato di impacchettamento e a proseguire con l'analisi dei file scompattati.
Livello 2: decompilazione del codice Python e download di artefatti dannosi per l'analisi
La decompilazione dei file python mostra che questo malware scarica un file PE (CS stager) da un URL dannoso. Quindi, esegue il CS stager e lo rimuove dal disco per eliminare potenziali IOC. Inoltre, viene visualizzato un falso messaggio di Windows per ingannare l'utente e fargli credere che si sia verificato un errore.
MetaDefender Aether extracts the malicious URL and downloads the stager for further analysis.
Livello 3: decodifica della configurazione di Cobalt Strike
The downloaded PE (cs.exe) is a stager that decrypts a second PE file, which decrypts the CS beacon and injects it into memory. There are many techniques that CS uses to hide the beacon and make its detection harder. MetaDefender Aether is able to statically follow its execution flow until it reaches the CS beacon and extracts its configuration.
Lo stager CS nasconde un file PE criptato XOR nella sua sezione .data. Questo secondo PE corrisponde a un file DLL, identificabile tramite la nota intestazione DLL (MZARUH), che è l'inizio dello stub del reflective loader predefinito per il beacon CS. Ciò significa che il PE iniziale sarà responsabile dell'allocazione e della copia della DLL del reflective loader in memoria, del parsing e della risoluzione degli indirizzi delle funzioni di importazione e dell'esecuzione del punto di ingresso della DLL. Infine, il reflective loader decodificherà ed eseguirà il beacon CS in memoria.
La configurazione del beacon CS è memorizzata nella DLL del caricatore riflessivo crittografata con un singolo byte XOR. Si noti che la configurazione CS inizia sempre con lo schema di byte "00 01 00 01 00 02", che ci aiuta a identificarla facilmente anche quando è crittografata con XOR a forza bruta.
Conclusione
This technical analysis of a CS highlights the complexity and depth of current cyber threats and demonstrates MetaDefender Aether‘s powerful, advanced threat engine effectively analyzing multi-layered attacks with remarkable speed.
La funzione di disimballaggio e decompilazione di Python consente un'analisi più approfondita, essenziale per rivelare la vera natura del programma dannoso. Abbiamo visto come la decompilazione abbia innescato azioni aggiuntive che hanno portato al rilevamento e all'estrazione della configurazione CS.
L'estrazione della configurazione del malware rivela sempre preziosi IOC e consente un'identificazione accurata del malware. Il nostro team dedicato di analisti di malware amplia continuamente la gamma di famiglie di malware supportate, garantendo una copertura completa e consentendo un rapido rilevamento delle minacce emergenti.
Indicatori di compromesso (IOC)
PE compilato con Pyinstaller
Sha256: d5a5a87cbc499d39797bcba85232fd1eede2fd81f4d5a1147454324968185926
Stager Cobalto Strike
Sha256: d8674a668cb51fe0d8dc89740c03e95d1f659fb6cb66ec8c896e3b1af748662f
URL dannoso
hxxp[://]43[.]143[.]130[.]124:8000/cs[.]exe
Indirizzo IP del Cobalt Strike C2
43[.]143[.]130[.]124
