После инцидента, связанного с безопасностью SolarWinds, возникла серия вредоносных программ. Новейшее вредоносное ПО под названием Raindrop является четвертым штаммом, появившимся после его предшественников, и исследователи публикуют данные о его механизмах. Raindrop, похоже, во многом основывается на своих предшественниках ( Teardrop , Sunspot и Sunburst ), хотя исследователи обнаруживают наибольшее сходство с Teardrop. Исследователи Symantec описывают Raindrop как «дополнительное вредоносное ПО, используемое в атаках SolarWinds».
Symantec опубликовала подробное расследование о Raindrop. Основная функция вредоносного ПО очень похожа на Teardrop в том смысле, что оно действует как бэкдор для Cobalt Strike. Несмотря на то, что Cobalt Strike создавался как инструмент для тестирования на проникновение, он также имеет историю использования киберпреступниками для создания серверов управления и контроля (C2). В отличие от Teardrop, который вводится через бэкдор Sunburst, Raindrop не имеет прямой связи с Sunburst.
Symantec говорит о деятельности Raindrop следующее:
Raindrop скомпилирован как DLL, созданная из модифицированной версии исходного кода 7-Zip. Код 7-Zip не используется и предназначен для сокрытия вредоносных функций, добавленных злоумышленниками ...
Всякий раз, когда DLL загружается, она запускает новый поток из подпрограммы DllMain, который выполняет вредоносный код. Этот вредоносный поток выполняет следующие действия:
Выполняет некоторые вычисления для задержки выполнения. Это не влияет на функциональность.
Находит начало закодированной полезной нагрузки, которая встроена в допустимый машинный код 7-Zip.
Чтобы найти начало закодированной полезной нагрузки, упаковщик использует стенографию, сканируя байты, начиная с начала подпрограммы, и пропускает любые байты до первого появления следующих байтов, которые представляют интересующие коды операций (opc-коды):
.data:0000000180053008 opcodes db 5, 0Dh, 15h, 1Dh, 25h, 2Dh, 35h, 3Dh, 0B8h
После всего этого полезная нагрузка расшифровывается и распаковывается. Полезная нагрузка использует шифрование AES , а для сжатия - алгоритм LMZA . Основная цель Raindrop - распространиться по сети цели, и, исходя из своей конструкции, он способен на это.
