Pure Crypter, сложный загрузчик вредоносного ПО как услуги (MaaS), привлек внимание хакеров, особенно тех, кто нацелен на системы Windows. Его популярность значительно возросла благодаря использованию в атаках на кражу информации, включая инструменты, такие как Lumma и Rhadamanthys.
Методы обхода систем защиты
Pure Crypter применяет множество методов обхода для успешного выполнения своих вредоносных операций:
- Обход AMSI
- Отключение библиотек DLL
- Обнаружение виртуальных машин
- Меры по предотвращению отладки
В ответ на усилия Microsoft по повышению безопасности в Windows 11 версии 24H2 разработчики Pure Crypter внедрили метод исправления NtManageHotPatch API в памяти, что позволяет им обойти ограничения, направленные на предотвращение «пустоты» процесса.
Технологические особенности работы Pure Crypter
Вредоносная программа использует ряд проверенных методов для выполнения своих целей:
- Reflection для файлов .NET PE
- RunPE (удаление процесса)
- Исполнение шелл-кода
RunPE подразумевает создание процесса в приостановленном состоянии, его модификацию и последующее возобновление с использованием различных API-интерфейсов Windows, включая:
- GetThreadContext
- ReadProcessMemory
- ZwUnmapViewOfSection
- VirtualAllocEx
- WriteProcessMemory
- SetThreadContext
- NtResumeThread
Для компьютеров под управлением Windows 11 версии 26100 или новее предусмотрено исправление API NtManageHotPatch для включения блокировки процессов.
Тактики маскировки
Pure Crypter использует подмену родительского процесса, применяя вызовы API, такие как:
- OpenProcess
- InitializeProcThreadAttributeList
- UpdateProcThreadAttribute
Это позволяет маскировать его рабочее поведение, что усложняет его обнаружение.
Инфраструктура и распространение
Операционная инфраструктура Pure Crypter включает автоматизированный канал распространения в Telegram, предоставляющий пользователям обновления и рыночный анализ. Вредоносное ПО предлагается по многоуровневой модели подписки, что подтверждает его статус «Полностью не обнаружено» на основе тестов от avcheck.net.
Однако эмпирическое тестирование на VirusTotal показало высокую частоту обнаружения с использованием множества антивирусных и EDR-решений, что указывает на несоответствия в маркетинговых заявлениях Pure Crypter.
Инструменты для исследователей безопасности
В дополнение к своим сложным возможностям, анализ Pure Crypter показывает использование специального инструмента под названием PureCrypterPunisher. Этот инструмент был разработан для помощи исследователям безопасности в распаковке образцов Pure Crypter и извлечении их конфигураций, автоматизируя процессы, которые в противном случае заняли бы много времени. Это значительно упрощает расширенный анализ вредоносных программ и способствует разработке эффективных стратегий реагирования.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Pure Crypter: Новый уровень угрозы для Windows".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.