Новый вариант вредоносного ПО Weyhro C2 демонстрирует эволюцию от классических программ-вымогателей к многофункциональному импланту с расширенными возможностями закрепления, внедрения кода и коммуникации с командованием и контролем (C2). Эксперты отмечают сочетание продуманных методов скрытности и ряда технических решений, которые затрудняют обнаружение на конечной точке.
Ключевые особенности
- Эвристика обхода EDR: для маскировки операций используется шифрование ChaCha20, применяемое для расшифровки пути к ntdll.dll, а также модификация событийной трассировки Windows — перезапись первого байта функции EtwEventWrite в ntdll.dll, что отключает ETW и снижает видимость активности.
- Прикрепление к системе: имплант устанавливается в папку AppData текущего пользователя, проверяя наличие целевых файлов перед копированием — это минимизирует избыточность и повышает вероятность повторного запуска после перезагрузки.
- Внедрение в процессы: реализуется через внедрение в «пустой» процесс (process hollowing / code injection) — заражающий код вводится в законные процессы, например cmd.exe, при этом путь целевого процесса шифруется, а для управления используются низкоуровневые Windows API.
- Скрытый удалённый доступ: используется HVNC (hidden virtual network computing) — невидимый сеанс рабочего стола позволяет злоумышленникам действовать, не привлекая внимания локального пользователя.
- Атаки на аутентификацию: реализована функция сброса заявок Kerberos, позволяющая извлекать локальные токены аутентификации и облегчать дальнейшее латеральное перемещение внутри сети.
- Скрытный загрузчик: загрузчик разрешает Windows API по поиску по хэшу вместо стандартного импорта, что повышает скрытность вызовов и затрудняет статический анализ.
Командный набор и сетевые функции
Weyhro C2 поддерживает набор утилит, необходимых для управления компрометированной системой:
- обработка файловых команд по указанным путям;
- создание прокси-сервера SOCKS5 на машине жертвы для маршрутизации трафика злоумышленника;
- реализация обратной оболочки (reverse shell) с перехватом и перенаправлением стандартных потоков ввода/вывода;
- поддержание связи с C2 посредством команды heartbeat, обеспечивающей живучесть импланта.
Технические приёмы уклонения и скрытности
Вредоносное ПО сочетает несколько приёмов, направленных на уклонение от средств обнаружения:
- шифрование отдельных частей полезной нагрузки (ChaCha20) для сокрытия критичных путей и строк;
- переопределение работы ETW через модификацию EtwEventWrite в ntdll.dll;
- разрешение API по хэшу вместо явного импорта;
- скрытые рабочие сессии через HVNC и внедрение в легитимные процессы.
Слабые места и оперативные векторы детекции
Несмотря на высокую степень скрытности, у Weyhro C2 есть заметный и эксплуатируемый недостаток: отправляемые и получаемые данные C2 передаются в открытом виде (plaintext). Это значит, что хотя отдельные части полезной нагрузки и пути скрыты шифрованием, фактический трафик команд и ответов не защищён. Последствия:
- возможность сетевого детектирования и перехвата команд/ответов при наличии соответствующих средств мониторинга;
- возможность корреляции активности и идентификации C2-серверов без анализа файловой системы;
- потенциал для создания правил IDS/IPS на основе характерных паттернов трафика.
Что это значит для организаций
Появление таких инструментов, как Weyhro C2, показывает, что злоумышленники всё чаще переосмысливают набор возможностей вредоносных программ: от прямого шифрования данных к платформам с удалённым доступом, прокси и методами перемещения по сети. Компрометация рабочих станций теперь может служить плацдармом для долгосрочного присутствия и перехвата трафика.
Краткие рекомендации для защиты
- контролировать изменения в системных библиотеках и функциях (ntdll.dll, EtwEventWrite);
- выявлять аномалии в установке и запуске файлов из папок типа AppData;
- аналитика сети: мониторить подозрительные исходящие соединения и трафик в открытом виде, характерный для C2-каналов;
- отслеживать появление скрытых сессий удалённого рабочего стола и нетипичные процессы, использующие возможности VNC/HVNC;
- анализ аутентификационных событий Kerberos для обнаружения попыток извлечения/перехвата токенов.
В заключение: Weyhro C2 — это пример современного, многофункционального импланта, сочетающего технически изощрённые приёмы скрытности с практичными инструментами для длительного удержания контроля над инфраструктурой. При этом его заметный недостаток — нешифрованная передача C2 — остаётся точкой входа для эффективных мер обнаружения и реагирования.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Weyhro C2: скрытность, обход EDR и расширенные возможности".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.