У мережі було виявлено новий варіант шкідливого ПЗ RoKRAT, що пов'язують з операціями групи APT37. Ця група, також відома під псевдонімами Reaper та ScarCruft, має задокументовану історію атак на організації переважно в Південній Кореї, хоча її діяльність поширюється й на інші регіони. Розробка цієї нової версії RoKRAT свідчить про постійні зусилля зловмисників у вдосконаленні своїх інструментів для підвищення непомітності та стійкості. Сам RoKRAT є бекдором, призначеним для надання зловмисникам віддаленого контролю над скомпрометованою системою, що дозволяє їм викрадати дані, встановлювати додаткове шкідливе ПЗ та вести спостереження. Аналіз цього варіанту виявляє поєднання складних технік, спрямованих на обхід сучасних засобів захисту.
Центральним елементом стратегії ухилення цього шкідливого ПЗ є метод двохетапної ін’єкції зашифрованого шеллкоду. Цей процес навмисно ускладнений, щоб перешкодити аналізу. Атака починається з початкового дропера, який може доставлятися через фішинговий електронний лист із шкідливим вкладенням. Цей перший етап містить невеликий зашифрований фрагмент коду. Його єдина мета — розшифрувати та виконати другий етап. Цей другий етап містить основний шеллкод, який також зашифрований. Шеллкод впроваджується безпосередньо в простір пам'яті запущеного легітимного процесу, наприклад, веб-браузера або системної утиліти. Таким чином, шкідливе ПЗ уникає запису своїх основних зловмисних компонентів на жорсткий диск, що робить його невидимим для традиційних файлових антивірусних сканерів. Використання механізму двохетапної ін’єкції зашифрованого шеллкоду означає, що продукти безпеки не можуть легко проаналізувати фінальне корисне навантаження, оскільки воно існує в розшифрованому стані лише в пам'яті іншого процесу, що ускладнює як статичний, так і динамічний аналіз.
Для доставки початкових корисних навантажень шкідливе програмне забезпечення використовує продуману техніку стеганографії. Стеганографія — це мистецтво приховування даних в інших, несекретних файлах. У цій кампанії група APT37 приховує свій шкідливий код у на вигляд нешкідливих файлах зображень, таких як PNG. Інфікована система отримує команду завантажити одне з цих зображень із командно-контрольного сервера. Для користувача або базового інструменту мережевої безпеки це виглядає як звичайний веб-трафік. Однак всередині піксельних даних зображення вбудоване зашифроване корисне навантаження. Спеціальна функція в шкідливому ПЗ призначена для зчитування файлу зображення, вилучення прихованих даних із конкретних місць, а потім їх виконання. Ця просунута техніка стеганографії слугує ефективним механізмом доставки та приховування, дозволяючи загрозі прослизнути повз рішення безпеки, які не налаштовані на виконання глибокої перевірки вмісту файлів.
Кампанія значною мірою покладається на безфайлові атаки для функціонування всередині мережі. Цей підхід надає пріоритет використанню інструментів і процесів, які вже вбудовані в операційну систему, — концепція, відома як "життя за рахунок землі" (living off the land). Замість того, щоб розміщувати нові виконувані файли, шкідливе ПЗ використовує легітимні утиліти, такі як PowerShell та інструментарій керування Windows (WMI), для виконання своїх завдань. Наприклад, PowerShell може використовуватися для завантаження стеганографічних зображень з інтернету або для виконання сценаріїв безпосередньо в пам'яті. WMI може використовуватися для забезпечення стійкості, дозволяючи шкідливому ПЗ перезапускатися після перезавантаження системи без необхідності мати файл на диску. Опора на безфайлові атаки значно ускладнює виявлення, оскільки діяльність шкідливого ПЗ маскується під легітимні адміністративні дії. Команди безпеки повинні шукати незвичайні патерни поведінки, а не шукати шкідливі файли.
З огляду на ці методи ухилення, традиційних заходів безпеки часто недостатньо. Саме тут практика EDR моніторингу стає актуальною для захисту. Рішення для виявлення та реагування на кінцевих точках (EDR) створені для протидії таким загрозам шляхом безперервного моніторингу активності на кінцевих точках та системних подій. На відміну від антивірусного програмного забезпечення, яке шукає відомі сигнатури, EDR зосереджується на виявленні аномальної поведінки кінцевих точок. Він збирає телеметрію про створення процесів, мережеві з'єднання, зміни в реєстрі та виклики API для створення базового рівня нормальної поведінки для конкретної системи. Коли новий шкідливий ПЗ RoKRAT намагається впровадити шеллкод в інший процес, або коли звичайний застосунок для роботи з документами раптово запускає сценарій PowerShell для підключення до інтернету, система EDR може позначити цю послідовність як аномальну. Виявлення аномальної поведінки кінцевих точок надає аналітикам безпеки контекст, необхідний для розслідування та реагування на потенційний компроміс до того, як буде завдано значної шкоди. Ефективний EDR моніторинг є рекомендованим контрзаходом для організацій, щоб підвищити свою видимість щодо складних технік, що використовуються такими загрозами.
