Впервые в своей истории «Лаборатория Касперского» зафиксировала вредоносный код в журналах событий Windows, сообщает Telecom Daily.
Вредоносное ПО хранят в, так называемых, журналах событий. Атакующие применяют широкий спектр техник, включая SilentBreak и CobaltStrike, легальные инструменты для тестирования на проникновение. В цепочку заражений, также входит целый набор вспомогательных модулей, написанных в том числе на Go. Они используются, чтобы затруднить обнаружение троянцев последней ступени.
Сообщается, что ранее эксперты компании не видели технику скрытия вредоносного кода внутри журналов событий Windows. За первичное заражение системы отвечает модуль из архива, который скачивает жертва. Некоторые файлы для повышения доверия к ним подписаны цифровым сертификатом. Заканчивается эта цепочка сразу несколькими троянцами для удалённого управления заражёнными устройствами. Они отличаются и способом передачи команд (HTTP или именованные каналы), и даже их набором. У некоторых версий троянцев таких команд десятки.
«Помимо использования сразу двух коммерческих инструментов и большого количества модулей нас очень заинтересовал факт хранения зашифрованного шелл-кода в журнале событий Windows. Такую технику скрытия присутствия зловреда в системе можно было бы добавить в матрицу Mitre», — комментирует Денис Легезо, ведущий эксперт по кибербезопасности «Лаборатории Касперского».