Киберпреступники стали практиковать новейшую технику сокрытия вредного кода внутри журналов событий операционной системы Windows. Об обнаружении нового типа атак сообщили спецы Лаборатории Касперского.
Методика, применяющаяся хакерами, базирована на хранении в журнале событий Windows зашифрованного shell-кода комплекта машинных команд, позволяющего войти к командному интерпретатору ОС и выполнить вредоносный код. При всем этом за первичное инфицирование системы дают ответы исполняемые файлы из RAR-архива, скачиваемого жертвой. Некие файлы для увеличения доверия к ним подписаны цифровым сертификатом. Кончается эта цепочка сначала несколькими троянами для удалённого управления заражёнными устройствами. Плюс к этому, нападающие применяют большой объем техник, включая SilentBreak и CobaltStrike, легальные инструменты для тестирования на проникновение. Также в цепочку инфецирования заходит целый набор вспомогательных модулей, написанных включая на Go. Они употребляются, чтоб затруднить обнаружение троянов последней ступени.
Отмечается, что специалисты Лаборатории Касперского в первый раз сталкиваются с фактом хранения вредного кода внутри журналов событий Windows, затрудняющего его обнаружение антивирусными программами и дозволяющего хакерам достигать собственных целей.
Денис Легезо, ведущий эксперт по кибербезопасности «Лаборатории Касперского», сказал:
Помимо использования сразу двух коммерческих инструментов и большого количества модулей нас очень заинтересовал факт хранения зашифрованного шелл-кода в журнале событий Windows. Такую технику скрытия присутствия зловреда в системе можно было бы добавить в матрицу MITRE.
Конкретнее о вредоносном коде с применением журналов событий Windows можно выяснить по этой ссылке.