BatCloak sakriva zlonamjerni softver
Sigurnosni istraživači iz kompanije Trend Micro su pronašli napredni mehanizam za prekrivanje zlonamjernog softvera pod nazivom BatCloak. Ovaj veoma napredan alat je pokazao izuzetnu sposobnost da nadmudri antivirusna rješenja i postavi nove izazove pred bezbjednosne eksperte.
Image by Cliff Hang from Pixabay
BatCloak napredni mehanizam za prekrivanje zlonamjernog softvera se pokazao izuzetno efikasnim u zamagljivanju BAT datoteka, što im je omogućio da izbjegnu detekciju antivirusnog softvera. Testiranja su sprovedena za period od septembar 2022. godine do juna 2023. godine i obuhvatila su 784 uzorka od kojih skoro 80% uzoraka antivirusna rješenja nisu identifikovala kao zlonamjerni softver. Ti uzorci su označeni kao potpuno imuni na detekciju (eng. fully undetectable – FUD), omogućavajući zlonamjernim napadačima da izbjegavaju sigurnosna rješenja dok primjenjuju različite vrste zlonamjernog softvera i iskorištavaju različite vrste ranjivosti.
Početak: Jlaive
Srž BatCloak mehanizama je besplatni alat otvorenog kôda Jlaive koji se koristi za izgradnju datoteka imunih na detekciju (FUD), koji zlonamjernim napadačima omogućava da lako implementiraju više vrsta zlonamjernog softvera uz pomoć veoma zamagljenih BAT datoteka. Jlaive je postao popularan odmah po svom prvom objavljivanju u septembru 2022. godine, a zlonamjerni napadači su iskoristili njegove mogućnosti da zaobiđe interfejs za skeniranje protiv zlonamjernog softvera (eng. Antimalware Scan Interface – AMSI), izvrši kompresiju aktivnog dijela virusa i šifruje primarni kôd kako bi smanjio mogućnost otkrivanja od strane sigurnosnih rješenja.
Iako je originalni repozitorij uklonjen, postoje mnoge izmijenjene verzije i klonovi koji se stalno pojavljuju na platformama za skladištenje kao što su GitHub i GitLab. Zlonamjerni napadači su čak prenijeli ovaj alat na druge programske jezike što je dodatno proširilo njegovu dostupnost i upotrebu.
Nova verzija: ScrubCrypt
Imajući u vidnu njegove mogućnosti, BatCloak njegova evolucija je očigledan razvoj događaja koji se trenutno ogleda u najnovijoj verziji pod nazivom: ScrubCrypt. ScrubCript je dizajniran da bude interoperabilan sa različitim poznatim porodicama zlonamjernih softvera, uključujući Amadey, AsyncRAT, DarkCrystal RAT, Pure Miner, Quasar RAT, RedLine Stealer, Remcos RAT, SmokeLoader, VenomRAT, i Warzone RAT.
“Razumijevanje evoluirajućeg pejzaža naprednih tehnika zlonamjernog softvera, kao što je FUD zamagljivač BatCloak, omogućava nam da razvijemo efikasnije strategije za borbu protiv prijetnji koje se neprestano razvijaju od ovih sofisticiranih protivnika. Ovi nalazi naglašavaju hitnu potrebu za poboljšanim pristupima otkrivanju i prevenciji zlonamjernog softvera, kao što su najsavremenija višeslojna odbrambena strategija i sveobuhvatna bezbjednosna rješenja.”
– Trend Micro –
Autor nove verzije izvršio prelazak sa otvorenog kôda na model zatvorenog kôda, vodeći se iskustvom projekta Jlaive, što bi mu trebalo omogućiti da se projekat unovči i zaštiti od neovlaštene replikacije. Osim datoteka imunih na detekciju, autor je uključio funkcije koje omogućavaju zaobilaženja lokalnih sigurnosnih mjera kao što su zaobilaženje kontrole korisničkog naloga (eng. User Account Control – UAC), zaobilaženje otkrivanje grešaka (eng. anti–debugging), zaobilaženje interfejsa za skeniranje protiv zlonamjernog softvera (AMSI) i praćenja događaja u operativnom sistemu.
Zaštita
Da bi ostale zaštićene, organizacije treba da razmotre najsavremeniju, višeslojnu odbrambenu strategiju i sveobuhvatna bezbjednosna rješenja koja mogu da otkriju, skeniranju i blokiraju zlonamjerni sadržaj u visoko razvijenim prijetnjama. Tu se prvenstveno misli na upravljiva XDR sigurnosna rješenja.
Zaključak
BatCloak predstavlja tekuću evolucionu prijetnju koja ima za cilj interoperabilnost sa brojnim porodicama zlonamjernog softvera i služi kao ubjedljiv dokaz njegove modularnosti. BatCloak evolucija naglašava fleksibilnost i prilagodljivost ovog alata i naglašava razvoj zamagljenih BAT datoteka imunih na detekciju. Ovo služi kao dokaz rasprostranjenosti ove tehnike u savremenom okruženju prijetnji i potrebe za boljim razumijevanjem taktika, tehnika i procedura koje primjenjuju zlonamjerni napadači kako bi se korisnici mogli suprotstaviti takvim upadima.
