Группа шантажистов Плавающая змея (Silver Fox) применяет сложную, многокомпонентную методологию для скрытия своей вредоносной деятельности от средств защиты. От многоступенчатого расшифрования полезной нагрузки до контрмер на уровне драйверов — кампания демонстрирует высокий уровень технической изощрённости и продуманной координации компонентов для стойкого сохранения доступа и обхода обнаружения.
Ключевые элементы атаки
- Многоуровневое дешифрование: вредоносная цепочка использует последовательные этапы расшифровки, которые собирают конечную полезную нагрузку из множества зашифрованных компонентов, что затрудняет статический и поведенческий анализ.
- Широкая и скрытая C2-инфраструктура: в кампании задействованы около 80 зашифрованных альтернативных адресов управления (C2), что усложняет обнаружение и блокировку коммуникаций.
- Стеганография: передача и маскировка данных осуществляется через комплексную схему стеганографии для сокрытия следов взаимодействия с инфраструктурой злоумышленников.
- Инсталлятор и скрипты: полезная нагрузка упакована в инсталлятор Windows youd_fanyiK_2.0.msi, который во время установки тихо выполняет VBS-скрипт. Скрипт создаёт каталоги, имитирующие легитимные системные папки, и расселяет вредоносные файлы по разным местам в файловой системе для скрытого развертывания.
- Удалённый доступ — Winos: критическим компонентом является RAT Winos, подключение которого защищено зашифрованным процессом. Соединение позднее расшифровывается и выполняется, что даёт злоумышленникам удалённый контроль над системой жертвы.
- RC4-шифрование состояния: связь между вредоносным ПО и инфраструктурой злоумышленника защищена методом на основе RC4 с использованием специального ключа для шифрования информации о состоянии системы и сопутствующих метрик.
- Контрмеры на уровне драйверов: для маскировки взаимодействия с ПО безопасности группа использует создаваемые драйверные файлы, которые заметают следы во время выполнения и усложняют обнаружение.
- Вторичные векторы: другой исполняемый файл — Wcnhguhyr.exe — развёртывается для загрузки дополнительных ключевых компонентов; эти компоненты используют структурные хэши целевых драйверов, чтобы обойти сигнатуры AV различных поставщиков.
Технические детали и особенности
Технологическая комбинация методов подчёркивает прагматичный и адаптивный характер кампании:
- Многоступенчатое дешифрование и распределённая природа полезной нагрузки делают процесс восстановления зловредного кода постепенным и трудноотслеживаемым.
- Использование ~80 C2-адресов и стеганографии повышает устойчивость инфраструктуры к блокировкам и делает сетевой детектинг сложнее.
- RC4-шифрование служит для защиты критичных обменов и метрик состояния, что препятствует аналитике и перехвату данных в ходе выполнения.
- Обход сигнатур через структурные хэши целевых драйверов показывает направленность на эксплуатацию слабостей традиционного сигнатурного детектинга.
«Эта практика указывает на высокий уровень изощрённости», — констатирует отчёт, подчёркивая способность злоумышленников маскировать своё взаимодействие с ПО безопасности.
Роль SmartArmor и подходы к защите
В отчёте отмечено использование проактивных защитных механизмов на уровне ядра, внедрённых компанией Antenna CERT в виде технологии SmartArmor. Ключевые функции SmartArmor:
- мониторинг процессов в режиме реального времени;
- оценка поведения процесса с точки зрения рисков;
- прерывание операций с высоким риском, включая попытки загрузки потенциально вредоносных драйверов;
- блокирование на основании репутации каталога и отсутствия действительных цифровых подписей, что эффективно предотвращает установку драйверов, связанных с полезной нагрузкой Плавающая змея.
Последствия и рекомендации
Кампания Плавающая змея (Silver Fox) подчёркивает необходимость многоуровневого подхода к защите. Практические рекомендации для команд по кибербезопасности:
- Внедрять мониторинг загрузки драйверов и блокировать загрузку неподписанных или находящихся в подозрительных каталогах драйверов.
- Использовать поведенческий анализ в реальном времени (как в SmartArmor) для выявления многоступенчатых схем дешифрования и атипичного поведения установщиков (.msi) и скриптов (VBS).
- Контролировать и анализировать цепочки исполнения, связанные с youd_fanyiK_2.0.msi и Wcnhguhyr.exe, а также отслеживать создание «маскирующих» системных каталогов.
- Внедрять сетевые механизмы обнаружения, ориентированные на аномалии в коммуникациях и использование множества C2-адресов; учитывать возможности стеганографии при анализе трафика.
- Анализировать целевые драйверы на предмет использования структурных хэшей и применять эвристики, дополняющие сигнатурный детектинг.
Вывод
Сочетание многоуровневого шифрования, стеганографии, драйверных контрмер и распределённой C2-инфраструктуры делает кампанию Плавающая змея (Silver Fox) заметным примером современной угрозы для корпоративных сред. Одновременно появление и внедрение технологий уровня ядра, таких как SmartArmor, демонстрирует, что оборона продолжает развиваться в ответ на усложняющиеся методы атак. Это очередное подтверждение «игры в кошки-мышки» между злоумышленниками и защитниками в киберпространстве.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Плавающая змея (Silver Fox): стеганография, RC4, скрытые драйверы и C2".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.