Pogled na WARMCOOKIE backdoor

AUTOR ·

WARMCOOKIE je backdoor zlonamjerni softver koji postaje sve popularniji među zlonamjernim akterima zbog svoje skrivene prirode i svestranih mogućnosti. Ovaj sofisticirani dio kôda, dizajniran za infiltriranje, postojanost i prikupljanje obavještajnih podataka iz sistema žrtava, prati zamršeni lanac infekcije koji može zaobići različite mjere bezbednosti i izbjeći otkrivanje. U nastavku će biti riječi o analizi ovog zlonamjernog softvera, njegovih mogućnosti i tekućoj phishing kampanji koja ga koristi za ciljanje nesuđenih žrtava.

WARMCOOKIE backdoor

Pogled na WARMCOOKIE backdoor; Source: Bing Image Creator

WARMCOOKIE BACKDOOR

Od kraja aprila 2024. godine, sigurnosni istraživači kompanije Elastic Security su primijetili porast phishing kampanja koje se lažno predstavljaju kao firme koje regrutuju i ciljaju na one koji traže posao. Elektronske poruke poslate u ovoj kampanji sadrže mamce vezane za određene pojedince i njihove trenutne poslodavce, podstičući žrtve da kliknu na link kako bi vidjeli navodni opis posla. Kada se klikne, od korisnika se traži da preuzmu dokument nakon što riješe CAPTCHA izazov.

Ovaj dokument sadrži zamagljenu JavaScript datoteku koja pokreće PowerShell, koji zauzvrat preuzima WARMCOOKIE backdoor i pokreće DLL datoteku pomoću usluge inteligentnog prenosa u pozadini (eng. Background Intelligent Transfer Service – BITS). Kampanja takođe koristi ugroženu infrastrukturu za skladištenje početne URL adrese za phishing i preusmjeravanje žrtava na odgovarajuću odredišnu stranicu.

 

Funkcionisanje

WARMCOOKIE backdoor se izvršava kroz proces u dva koraka: uspostavljanje postojanosti kroz zakazani zadatak i pokretanje osnovne funkcionalnosti dok se obavljaju provjere anti-analize kako bi se izbjeglo otkrivanje. U prvoj fazi rada WARMCOOKIE postavlja planirani zadatak koristeći Task Scheduler funkcionalnost sa sistemskim privilegijama da se pokreće svakih 10 minuta svakog dana.

Osnovna funkcionalnost WARMCOOKIE zlonamjernog softvera se nalazi u preuzetoj DLL datoteci. Kada se učita u memoriju, zlonamjerni softver počinje da radi obavljanjem različitih provjera i tehnika zamagljivanja kako bi izbjegao otkrivanje. Za operaciju zamagljivanja koristi prilagođeni algoritam za dešifrovanje nizova da zaštiti svoje nizove. Prva četiri bajta svakog šifrovanog niza predstavljaju veličinu, nakon čega sledi RC4 ključ, a preostali bajtovi sadrže stvarne podatke niza. Međutim, nisu sve instance ključa RC4 rotirane između različitih nizova, primijetili su sigurnosni istraživači.

U nastavku zlonamjerni softver koristi dinamičko API učitavanje kako bi spriječio statičku analizu da identifikuje njegovu osnovnu funkcionalnost. Ne koristi API heširanje ili rješavanje i štiti ciljane DLL datoteke i osjetljive nizove koristeći šifrovanje. Dešifrovani nizovi se brišu iz memorije odmah nakon upotrebe, potencijalno izbjegavajući skeniranje memorijskog potpisa.

Na kraju WARMCOOKIE backdoor vrši provjere protiv otklanjanja grešaka (eng. antidebugging) za ciljana izolovana okruženja (eng. sandboxes). Ove provjere uključuju logiku za provjeru aktivnog broja CPU procesora i vrijednosti fizičke/virtuelne memorije. Konkretno, ako ima više od 3 ili 4 procesora (u zavisnosti od uslova) i izračunata vrijednost iz GlobalMemoryStatusEx poziva je veća od određenog praga, tada će WARMCOOKIE zlonamjerni softver nastaviti sa izvršavanjem.

Dodatno, svaki uzorak zlonamjernog softvera dolazi sa nizom nalik na GUID – globally unique identifier kao muteksom za podešavanje pre njegove glavne funkcionalnosti. Ovo pomaže da se osigura da se samo jedna instanca zlonamjernog softvera pokreće u bilo kom trenutku na sistemu.

 

Mogućnosti

Glavne mogućnosti WARMCOOKIE zlonamjernog softvera uključuju preuzimanje informacija o žrtvama kao što su IP adresa i detalji CPU procesora, pravljenje snimaka ekrana koristeći Windows izvorne alate, nabrajanje instaliranih programa preko ključa sistemskih registara, izvršavanje proizvoljnih komandi pomoću cmd.exe, preuzimanje datoteka u određene direktorijume/putanje i dešifrovanje stringove sa IDAPython skriptom.

Svaki uzorak zlonamjernog softvera kompajliran je sa tvrdo kodiranom C2 IP adresom i RC4 ključem. Zlonamjerni softver se neće pokrenuti ako je broj CPU procesora i vrijednosti fizičke ili virtuelne memorije ispod određenih pragova da bi se izbjegla okruženja za analizu. Sve primljene komande se obrađuju putem provjere integriteta pomoću CRC32 kontrolnih suma kako bi se osiguralo da nisu manipulisane.

Uprkos ograničenim mogućnostima, WARMCOOKIE zlonamjerni softver ne treba shvatati olako, jer se aktivno koristi i utiče na organizacije na globalnom nivou.

 

Komunikacija

Zlonamjerni softver komunicira isključivo preko HTTP protokola sa tvrdo kodiranom IP adresom, koja je konstantna u svim posmatranim uzorcima. Ova IP adresa služi kao komandni i kontrolni (C2) server za WARMCOOKIE zlonamjerni softver.

Komunikacija između inficiranog uređaja i C2 servera uključuje nekoliko tehnika šifrovanja za zaštitu podataka koji se prenose. Zlonamjerni softver koristi kombinaciju RC4 i Base64 kodiranja da obezbijedi svoj mrežni saobraćaj. Konkretno, tri proračuna kontrolne sume se šifruju pomoću RC4 pre nego što se pošalju preko HTTP kolačića kao parametara.

Upotreba tvrdo kodiranih IP adresa u zlonamjernom softveru nije neuobičajena, ali može olakšati otkrivanje zlonamjerne infrastrukture za bezbjednosne timove, jer se ne mijenja često. Međutim, u slučaju WARMCOOKIE zlonamjernog softvera, zlonamjerni akteri svake nedjelje otvaraju nove domene i infrastrukturu kako bi podržali ove kampanje, što otkrivanje čini izazovnijim.

 

Bot funkcionalnosti

WARMCOOKIE bot funkcionalnost uključuje sedam rukovalaca komandi koje zlonamjerni akteri mogu da koriste za preuzimanje dodatnih informacija o žrtvama ili za primjenu dodatnih štetnih sadržaja:

  • Prvi rukovalac komandom (ID 1) je odgovoran za preuzimanje detalja žrtve kao što su IP adresa i informacije o procesoru. Ovaj rukovalac uzima digitalni otisak uređaja žrtve prikupljanjem ovih podataka i zatim ih šalje šifrovane podatke na C2 server preko HTTP parametra kolačića,
  • Drugi rukovalac komandama (ID 2) omogućava zlonamjernom softveru da napravi snimke ekrana koristeći Windows izvorne alate i pošalje ih nazad na C2 server napadača,
  • Treći rukovalac komandama (ID 3) omogućava zlonamjernom softveru da nabroji instalirane programe na mašini žrtve pristupom ključu sistemskih registara,
  • Četvrti rukovalac komandama (ID 4) omogućava izvršavanje komandne linije, omogućavajući zlonamjernim akterima da pokreću proizvoljne komande koristeći cmd.exe i pošalju izlaz nazad na C2 server,
  • Peti rukovalac komandama (ID 5) omogućava zlonamjernom softveru da ispusti datoteke u određene direktorijume/putanje na uređaju žrtve,
  • Šesti rukovalac komandama (ID 6) omogućava zlonamjernom akteru da čita datoteke sa inficiranih uređaja tako što daje putanju datoteke kao argument. Ako je uspješan, šalje POST zahtev sa Base64 kodiranom vrednoću OK zajedno sa sadržajem datoteke.
  • Sedmi rukovalac komandama (ID 10) uklanja prethodno konfigurisane zakazane zadatke.

 

ZAKLJUČAK

Windows zlonamjerni softver pod nazivom WARMCOOKIE identifikovan je kao ogromna prijetnja koja se distribuira kroz lažne phishing kampanje ponuda za posao sa ciljem da provale u korporativne mreže od kraja aprila 2024. godine. Sigurnosni istraživači koji su analizirali ovu kampanju kažu da je WARMCOOKIE sposoban za obimno uzimanje digitalnog otiska uređaja, snimanje ekrana i primjenu dodatnih korisnih opterećenja kada se učvrsti u ciljanom sistemu. Provjere protiv analize zlonamjernog softvera obuhvataju uslove zasnovane na broju procesora i vrijednosti memorije da bi se izbjegla izolovana okruženja ili okruženja za analizu.

Zlonamjerni akteri koji stoje iza ove kampanje preduzimaju mjere da izbjegnu otkrivanje od strane bezbjednosnih tehnologija. Oni koriste ugroženu infrastrukturu za skladištenje početnih phishing URL adresa koje preusmjeravaju žrtve na različite odredišne stranice sa zlonamjernim sadržajem. Novi domeni i infrastruktura se često mijenjaju svake nedjelje, što predstavlja izazov za sisteme reputacije da održe korak sa aktivnostima zlonamjernih aktera.

Kako ova kampanja nastavlja da se razvija, bezbjednosni timovi moraju ostati informisani o najnovijim dešavanjima i prilagoditi svoju odbranu u skladu sa tim kako bi se zaštitili od ovih novonastalih prijetnji.

 

ZAŠTITA

Kako bi se korisnici efikasno zaštitili WARMCOOKIE zlonamjernog softvera, neophodno je da razumiju njegovo ponašanje i primjene višeslojni bezbjednosni pristup. Evo nekoliko preporučenih koraka:

  1. Početni WARMCOOKIE vektor napada je putem kampanja elektronske pošte. Primjena robusnih rješenja za zaštitu elektronske pošte kao što su filteri za neželjenu poštu, analiza u izolovanom okruženju i filtriranje priloga može pomoći u sprečavanju isporuke zlonamjernih elektronskih poruka korisničkim sistemima. Pored toga, edukacija korisnika o prepoznavanju pokušaja krađe identiteta i neotvaranje sumnjivih priloga ili klikanje na veze u neželjenim elektronskim porukama uveliko pomaže u sprečavanju infekcije,
  2. Uvjeriti se da je softver za zaštitu krajnjih tačaka instaliran na svim uređajima i da je ažuriran sa najnovijim definicijama kako bi mogao otkriti i blokirati poznate varijante zlonamjernog softvera, uključujući WARMCOOKIE. Ovaj softver bi trebalo da uključuje skeniranje u realnom vremenu datoteka preuzetih sa interneta ili priloga elektronske pošte, kao i analizu ponašanja da bi se identifikovale sumnjive aktivnosti,
  3. Sprovesti mjere bezbednosti mreže kao što su zaštitni zidovi i sistemi za otkrivanje upada (eng. intrusion detection systems – IDS) da bi se nadgledao dolazni i odlazni saobraćaj na bilo kakve znakove WARMCOOKIE komunikacionih obrazaca ili poznatih C2 domena. Pored toga, segmentiranje mreže može pomoći u ograničavanju širenja zlonamjernog softvera u slučaju da je krajnja tačka ugrožena,
  4. Primijeniti smjernice za kontrolu aplikacija da bi se ograničilo izvršavanje neodobrenih aplikacija i skripti na krajnjim tačkama. Ovo će spriječiti WARMCOOKIE zlonamjerni softver da bude u mogućnosti da izvrši svoje PowerShell komande ili preuzme svoje DLL datoteke, pošto se oslanja na ove tehnike za izvršavanje na korisničkim uređajima,
  5. Uvjeriti se da su svi sistemi ažurirani najnovijim softverskim ispravkama i bezbjednosnim ispravkama. Ovo će pomoći u sprečavanju da poznate ranjivosti budu iskorišćene od strane WARMCOOKIE zlonamjernog softvera ili drugog zlonamjernog softvera,
  6. Obrazovati korisnike o rizicima otvaranja sumnjivih elektronskih poruka, klikanja na veze u neželjenim porukama i preuzimanja neprovjerenih priloga. Redovno vođenje razgovora o bezbednosti može pomoći u stvaranju kulture budnosti u poslovnoj organizaciji,
  7. Razvijati Plan odgovora na sajber prijetnju kako bi se u svakom momentu bilo spremno za eventualnu infekciju WARMCOOKIE zlonamjernog softvera ili sličan napad. Ovo bi trebalo da uključuje procedure za izolovanje zaraženih sistema, prikupljanje i analizu forenzičkih podataka i komunikaciju sa zainteresovanim stranama o situaciji.

 

Ukratko, zaštita od WARMCOOKIE zlonamjernog softvera zahteva višeslojni bezbjednosni pristup koji uključuje zaštitu elektronske pošte, bezbjednost krajnjih tačaka, bezbjednost mreže, kontrolu aplikacija, upravljanje ažuriranjima, obuku korisnika i planiranje odgovora na incidente. Primjenom ovih mjera može se značajno smanjiti rizik da organizacija postane žrtva ove ili sličnih prijetnji zlonamjernog softvera.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.