Технический анализ вредоносной программы FormBook: сложный комплекс средств обхода и сбора данных
В недавнем исследовании подробно рассмотрены технические аспекты работы вредоносной программы FormBook после компрометации целевого компьютера. FormBook проявляет высокий уровень сложности во внедрении, защите и сборе конфиденциальной информации, используя передовые методы обхода средств безопасности и анализа. Такая многоуровневая тактика определяет серьезную угрозу для корпоративных и частных пользователей.
Способы внедрения и уклонения от обнаружения
Основной точкой входа для FormBook служит 32-разрядный процесс «ImagingDevices.exe», куда вредоносная программа внедряет свой код по методике «пустого процесса» (process hollowing). Это означает, что легитимный процесс запускается, после чего его содержимое заменяется вредоносным кодом, что позволяет остаться незамеченным для большинства систем защиты.
Дальнейшие способы уклонения включают следующие техники:
- Динамическое расшифрование полезной нагрузки, хранящейся в зашифрованном виде, с помощью собственной процедуры дешифрования;
- Загрузка дублированного Ntdll.dll, что усложняет анализ кода, поскольку исследователям приходится отслеживать, к какому именно модулю обращается программа;
- Обфускация API-вызовов (API obfuscation) — скрытие вызовов системных функций через хитроумное изменение или маскировку;
- Использование черного списка (blacklist) процессов, характерных для аналитических сред и виртуальных машин;
- Проверка имени пользователя и пути к целевому процессу на соответствие известным шаблонам анализа и автоматизации; в случае совпадения вредоносная программа завершает работу.
Метод Heaven’s Gate и манипуляция дочерними процессами
FormBook применяет известный метод Heaven’s Gate для переключения между режимами 32- и 64-разрядного кода в рамках процесса, что помогает ему адаптироваться к различным архитектурам и усложняет детектирование.
Вредоносная программа случайным образом выбирает дочерние процессы с именем explorer.exe и внедряется в другие процессы пользователя, например, notepad.exe и PATHPING.EXE. Такая тактика обеспечивает широкий доступ к системным ресурсам и повышает устойчивость к удалению.
Сбор и передача конфиденциальных данных
Получив контроль над системой, FormBook собирает различные сведения:
- учётные данные пользователей;
- файлы cookie браузеров;
- другие персональные данные;
- информацию из системного реестра и локальных файлов.
Данный сбор данных реализуется через вызовы системных API, что ускоряет и автоматизирует процесс без привлечения внимания пользователя.
Передача данных осуществляется на сервер управления (C2) через протокол HTTP. При этом список доменов C2 сохранён в зашифрованном виде, существенно усложняя их идентификацию и блокировку.
Команды и управление вредоносной программой
Коммуникация с сервером C2 позволяет формировать команды для FormBook, включая:
- загрузку дополнительного вредоносного кода;
- очистку конфиденциальных данных из системы;
- выполнение критических системных операций, таких как завершение работы или перезагрузка.
Выводы
FormBook демонстрирует высокотехнологичный и многокомпонентный подход к внедрению и сокрытию своей вредоносной деятельности. Совокупность методов — от process hollowing и обфускации API до динамического шифрования и адаптивного управления процессами — значительно усложняет её обнаружение и обезвреживание.
Эксперты по кибербезопасности отмечают, что именно такие сложные образцы вредоносного ПО представляют наибольшую угрозу, требуя постоянного совершенствования систем защиты и инструментов анализа.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Технический разбор вредоносной программы FormBook: сложные методы обхода".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.