Как VEILDROP использует Google против вас самих?

Компания Securonix задокументировала атакующую цепочку под кодовым названием VEILDROP, и материалы исследования были переданы изданию The Hacker News. Авторы анализа — исследователи Акшай Гайквад (Akshay Gaikwad), Шикха Сангван (Shikha Sangwan) и Аарон Бёрдсли (Aaron Beardslee). Конечная цель всей этой конструкции — доставить на заражённую машину инфостилер PureLogs.
Жертва, скорее всего, попадает в ловушку через целевой фишинг или при переходе на подконтрольный злоумышленникам сайт. На первом этапе пользователь получает файл с именем вроде transcript.pdf.js. Двойное расширение сделано специально: человек видит «transcript.pdf» и думает, что открывает обычный документ. На деле Windows Script Host запускает JavaScript, который немедленно поднимает PowerShell с отключёнными политиками выполнения.
Дальше PowerShell-скрипт обращается за следующим фрагментом цепочки не к какому-нибудь тёмному серверу, а к обычному блогу на платформе Blogger от Google: htlwub00klocate.blogspot[.]com. Логика простая — репутационные фильтры и корпоративные прокси пропускают трафик к инфраструктуре Google почти без вопросов. Параллельно скрипт открывает настоящую страницу Google, имитируя открытие PDF. Пользователь видит «документ», заражение идёт фоном.
Следующий загружаемый PowerShell-payload делает несколько вещей: удаляет исходный файл transcript.pdf.js, чтобы убрать следы запуска, минимизирует forensic-след через wscript.exe и расшифровывает встроенную полезную нагрузку. Это уже лоадер, который подготавливает финальный этап.
Авторы вложили в VEILDROP заметные усилия именно в части уклонения от обнаружения. Как объясняют Гайквад, Сангван и Бёрдсли: «Вместо статических индикаторов, таких как жёстко прописанные URL или предсказуемые шаблоны выполнения, вредонос динамически формирует адрес следующего этапа прямо во время исполнения». Конкретно: каждый раз генерируется уникальный URL на blogspot[.]com с произвольным количеством прямых слешей внутри строки. Это ломает статические сигнатуры URL и фильтрацию по паттернам.
Помимо динамических URL, лоадер во время выполнения подменяет значения-заглушки случайно сгенерированными строками — это не даёт получить стабильный хэш файла или сигнатуру скрипта. Сам реконструированный скрипт выполняется целиком в памяти, без записи на диск. Никаких артефактов на файловой системе. Финальная нагрузка, PureLogs, запускается как.NET-сборка через технику рефлективной загрузки кода.
Если среда не позволяет запустить.NET-сборку из памяти напрямую, лоадер переключается на резервный метод. В ход идут легитимные, подписанные Microsoft бинарники: regsvcs.exe, installutil.exe, msbuild.exe и aspnet_compiler.exe. Это классика Living-off-the-Land. Исследователи Securonix специально отмечают: «Один из наиболее примечательных аспектов лоадера состоит в том, что он не зависит ни от какого единственного LOLBin». Иными словами, заблокировать один бинарник — недостаточно.
PureLogs — это.NET-стилер, собирающий с заражённой машины широкий набор данных. Паролии, куки, данные браузеров, токены — всё это уходит атакующим. Но реальный ущерб не ограничивается одним заражённым хостом. Собранные данные используются для углубления в среду: закрепление, горизонтальное перемещение по сети, выход в облачную инфраструктуру организации.
Общую картину Securonix описывает так: «Сочетание скомпрометированных сайтов, маскировки через множественные расширения, доверенных облачных сервисов, XOR-обфусцированных полезных нагрузок, рефлективной , бесфайлового выполнения и злоупотребления LOLBin свидетельствует о намеренных усилиях по обходу традиционных антивирусных решений». Каждый элемент цепочки закрывает конкретный детекшн-вектор, и это не случайные совпадения.


Новое на сайте

Ссылка