Elastic Security Labs выявила новое сложное семейство вредоносных программ DOUBLELOADER
Специалисты Elastic Security Labs провели глубокий анализ нового семейства вредоносных программ DOUBLELOADER, которое функционирует совместно с инфостилером RHADAMANTHYS. В своей работе злоумышленники применяют обфускатор с открытым исходным кодом ALCATRAZ, выпущенный в январе 2023 года, ставший известным благодаря связям со взломом игр и активным использованию в электронной преступности и APT-операциях.
Особенности обфускатора ALCATRAZ
Обфускатор ALCATRAZ внедряет множество методов для усложнения анализа вредоносного кода, среди которых:
- сглаживание потока управления;
- мутация инструкций;
- постоянное разворачивание;
- постоянное скрытие информации;
- защиты от дизассемблирования;
- обфускация точек входа.
Такой многоуровневый подход значительно затрудняет работу аналитиков и увеличивает время на обратное проектирование.
Механизмы работы DOUBLELOADER
DOUBLELOADER взаимодействует с управляющими серверами через жестко заданный IP-адрес 185.147.125.81 и использует системные вызовы Windows, включая NtOpenProcess и NtCreateThreadEx, для запуска вредоносных компонентов.
Уникальной особенностью является изменение точки входа вредоносной программы, выполненное обфускатором ALCATRAZ. Определение новой точки входа требует дополнительных вычислений, основанных на полях заголовка PE, что усложняет процесс анализа.
Технические сложности для аналитиков
Методы защиты от дизассемблирования в ALCATRAZ включают:
- модификацию всех инструкций, начинающихся с байта 0xFF, с добавлением короткой инструкции перехода, нарушающей простую реконструкцию команд;
- мутацию базовых арифметических операций, превращая их в сложные последовательности, что запутывает понимание первоначального кода;
- постоянное развертывание — разбивку известных констант на несколько операций для сокрытия их истинных значений;
- обфускацию инструкций LEA, которая скрывает непосредственные числовые значения, усложняя кросс-ссылки и анализ;
- нарушение целостности потока управления через сглаживание, что приводит к существенным изменениям структуры базовых блоков и усложняет выделение функций.
Инструменты для борьбы с обфускацией
В ответ на возросшую сложность исследования вредоносных программ, эксперты Elastic Security Labs разработали специализированные скрипты для IDA Pro на Python, позволяющие частично преодолеть методы обфускации ALCATRAZ.
Хотя универсального решения для деобфускации ещё не существует, эти инструменты предоставляют важные исходные стратегии, существенно повышающие эффективность анализа и выявления подобных сложных образцов вредоносного ПО.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Анализ DOUBLELOADER: сложные методы обфускации в новых угрозах".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.