Phần mềm độc hại 'Beep' tàng hình mới tập trung chủ yếu vào việc tránh bị phát hiện

Một phần mềm độc hại tàng hình mới có tên 'Beep' đã được phát hiện vào tuần trước, có nhiều tính năng để trốn tránh sự phân tích và phát hiện của phần mềm bảo mật.

Phần mềm độc hại được các nhà phân tích tại  Minerva phát hiện  sau khi một loạt các mẫu được tải lên VirusTotal, một nền tảng trực tuyến để quét tệp và phát hiện nội dung độc hại.

Mặc dù Beep vẫn đang trong quá trình phát triển và thiếu một số tính năng chính, nhưng nó hiện cho phép các tác nhân đe dọa tải xuống và thực thi các tải trọng tiếp theo trên các thiết bị bị xâm nhập từ xa.

Một kẻ đánh cắp thông tin mới đang được hình thành

Beep là phần mềm độc hại đánh cắp thông tin sử dụng ba thành phần riêng biệt: ống nhỏ giọt, ống tiêm và tải trọng.

Trình nhỏ giọt ("big.dll") tạo khóa đăng ký mới với giá trị 'AphroniaHaimavati' chứa tập lệnh PowerShell được mã hóa base64. Tập lệnh PowerShell này được khởi chạy 13 phút một lần bằng cách sử dụng tác vụ theo lịch trình của Windows.

Khi tập lệnh được thực thi, nó sẽ tải xuống dữ liệu và lưu vào một trình tiêm có tên AphroniaHaimavati.dll, sau đó được khởi chạy.

Trình tiêm là thành phần sử dụng một loạt các kỹ thuật chống gỡ lỗi và chống vm để đưa tải trọng vào một quy trình hệ thống hợp pháp ("WWAHost.exe") thông qua quá trình làm rỗng quy trình để tránh bị các công cụ chống vi rút chạy trên máy chủ phát hiện.

Cuối cùng, tải trọng chính cố gắng thu thập dữ liệu từ máy bị xâm nhập, mã hóa và gửi đến C2. Trong quá trình phân tích của Minerva, địa chỉ C2 được mã hóa cứng đã ngoại tuyến, nhưng phần mềm độc hại đã cố gắng kết nối ngay cả sau 120 lần thử không thành công.​

Thu thập dữ liệu từ hệ thống bị vi phạm

Bất chấp những hạn chế trong quá trình phân tích phần mềm độc hại, Minerva vẫn có thể xác định các chức năng sau trong mẫu, được kích hoạt bởi các lệnh C2:

• balancer – chưa được triển khai
• init – chưa được triển khai
• screenshot  - xuất hiện để thu thập danh sách quy trình
• task - chưa được thực hiện
• destroy  - chưa được thực hiện
• shellcode – thực thi shellcode bổ sung
• dll – thực thi một tập tin dll
• exe – thực thi một tệp .exe
• Additional - thu thập thông tin bổ sung
• knock_timeout – thay đổi khoảng thời gian "keep-alive" của C&C

Trốn tránh sự phát hiện

Điều làm cho phần mềm độc hại Beep trở nên nổi bật là việc sử dụng nhiều kỹ thuật trong suốt quy trình thực thi của nó để trốn tránh sự phát hiện và phân tích của phần mềm bảo mật và các nhà nghiên cứu.

Những kỹ thuật trốn tránh này được tóm tắt dưới đây:

1. Dynamic string deobfuscation  – Ẩn các chuỗi quan trọng và sao chép các byte hex vào bộ nhớ. Beep gỡ rối mã nguồn chúng khi cần bằng cách sử dụng hướng dẫn lắp ráp xor/sub/add/not.
2. System Language check– Tiếng bíp sẽ kiểm tra ngôn ngữ hệ thống mặc định và thoát nếu phát hiện thấy tiếng Nga, tiếng Ukraina, tiếng Bêlarut, tiếng Tajik, tiếng Slovenia, tiếng Gruzia, tiếng Kazakh và tiếng Uzbek (Cyrillic).
3. Assembly implementation of the IsDebuggerPresent API function– ​​Kiểm tra xem trình gỡ lỗi chế độ người dùng có đang gỡ lỗi quy trình hiện tại hay không.
4. NtGlobalFlag field anti-debugging– Xác định xem trình gỡ lỗi có tạo quy trình hay không.
5. RDTSC instruction – Xác định các dấu tick của CPU kể từ khi đặt lại để xác định xem nó có chạy trong máy ảo hay không.
6. Stack Segment Register– Phát hiện nếu chương trình đang được theo dõi.
7. CPUID anti-vm – Lấy chuỗi Nhãn hiệu Hypervisor và kiểm tra xem chuỗi này có chứa một phần của từ 'VMware' hay không.
8. VBOX registry key anti-vm – Kiểm tra sự tồn tại của các khóa đăng ký liên quan đến VM.
9. Beep API function anti-sandbox – Thay thế cho 'Chức năng API ngủ', chức năng này tạo âm báo bíp trên loa trong khi trì hoãn việc thực thi phần mềm độc hại (chờ có thể cảnh báo) để tránh bị hộp cát phát hiện.

Giải mã chuỗi

Ngoài những điều trên, thành phần bộ cấy cũng thực hiện các kỹ thuật trốn tránh sau:

1. INT 3 anti-debugging – Tạo một ngoại lệ sẽ buộc trình gỡ lỗi ngừng hoạt động.
2. INT 2D anti-debugging – Tạo ngoại lệ sẽ buộc trình gỡ lỗi ngừng hoạt động.
3. CheckRemoteDebuggerPresent() API anti-debugging – Xác định xem trình gỡ lỗi có được đính kèm với quy trình hiện tại hay không.
4. IsDebuggerPresent() API anti-debugging – Xác định xem trình gỡ lỗi ở chế độ người dùng có đang gỡ lỗi quy trình hiện tại hay không.
5. ProcessDebugPort anti-debugging – Xác định số cổng của trình gỡ lỗi cho quy trình.
6. VirtualAlloc() / GetWriteWatch() anti-debugging – Theo dõi các trang được ghi trong bộ nhớ để phát hiện các trình gỡ lỗi và hook.
7. OutputDebugString() anti-debugging – Kỹ thuật phát hiện trình gỡ lỗi dựa trên kết quả trả về cuộc gọi.
8. QueryPerformanceCounter() and GetTickCount64() anti-debugging – Đo độ trễ giữa hướng dẫn và thực thi để xác định xem trình gỡ lỗi có chạy trên hệ thống hay không.

Beep là một ví dụ về phần mềm độc hại tập trung chủ yếu vào việc trốn tránh, đã triển khai nhiều cơ chế chống phân tích trước khi hoàn thiện bộ tính năng đầy đủ để đánh cắp dữ liệu và thực thi các lệnh.

Mặc dù hoạt động của nó ngoài tự nhiên vẫn còn hạn chế trong thời điểm hiện tại, Beep có thể là một mối đe dọa sắp tới cần đề phòng.

Mời quý khách đặt trước (trả sau) để nv tiện gọi lại tư vấn bằng livestream cụ thể cho khách chụp màn hình để đồng kiểm. Công Tắc Công Suất Cao Tuya Wifi 20a Lắp Bình Nóng Lạnh mua ở đây sẽ được bảo hành 36 tháng + bh mở rộng, bh rơi vở vô nước chạm cháy tại trungtambaohanh.com, phục vụ 24/7 tại nhà nhằm đảm bảo tối đa tính an toàn riêng tư dữ liệu cho người dùng, chỉ cần đặt hàng trước 24h quý khách được tặng gói bảo hiểm phần cứng và phần mềm.