Razotkrivanje GootLoader misterije

AUTOR · Published · Updated

GootLoader, sofisticirani i prikriveni sistem za isporuku zlonamjernog softvera, izaziva zabrinutost u svetu sajber bezbjednosti zbog svoje široke upotrebe i mogućnosti da zaobiđe različite bezbjednosne mjere. Poznato je da da zloupotrebljava JavaScript za preuzimanje zlonamjernog softvera ili drugih zlonamjernih alata nakon eksploatacije i za postojanost unutar inficiranog uređaja. On je dio porodice zlonamjernog softvera GootKit, koji je bankarski trojanac napisan u NodeJS koji je aktivan od 2014. godine.

GootLoader

Razotkrivanje GootLoader misterije; Source: Bing Image Creator

GOOTLOADER

Poreklo GootLoader zlonamjernog softvera je obavljeno velom misterije, a istraživači ga pripisuju grupi poznatoj kao UNC2565. Vjeruje se da se ovaj zlonamjerni akter dolazi iz istočne Evrope, ali je povezan sa različitim kampanjama sajber kriminala širom sveta.

Precizni motivi ove sofisticirane i dobro finansirane grupe ostaju nejasni, međutim, njihova upotreba različitih alata nakon eksploatacije sugeriše mogući finansijski motiv obezbjeđivanja GootLoader sistema za isporuku zlonamjernog softvera drugim zlonamjernim akterima, proširujući svoj tržišni doseg i povećavajući potencijal i finansijsku dobit.

GootLoader je povezan sa raznim drugim poznatim prijetnjama u okruženju sajber bezbjednosti. Na primjer, djeli sličnosti sa zloglasnom familijom zlonamjernog softvera Emotet, posebno korišćenjem PowerShell skripti za aktivnosti nakon eksploatacije i njegovom sposobnošću preuzimanja dodatnih korisnih podataka na osnovu cilja. Pored toga, primijećeno je da GootLoader koristi Cobalt Strike kao alatku za posteksploataciju, koju koriste i druge grupe za napredne trajne prijetnje (eng. Advanced persistent threat – APT) kao što je APT28 (Fancy Bear).

 

Distribucija

GootLoader prvenstveno koristi zlonamjerne SEO tehnike za distribuciju svog zlonamjernog softvera preko kompromitovanih internet lokacija. Korisnici koji traže određene informacije u pretraživačima se usmjeravaju na ove internet lokacije, koje zatim isporučuju ZIP arhivu koja sadrži zlonamjernu JavaScript datoteku kao preuzimanje ili ugrađenu vezu na stranici. Sama ova datoteka uspostavlja postojanost i ispušta Cobalt Strike binarnu datoteku u memoriju zaraženog sistema koristeći različite tehnike kao što su PowerShell skripte ili Windows Management Instrumentation (WMI) komande.

GootLoader cilja korisnike na osnovu vjerovatnoće da korisnici traže i preuzimaju naizgled legitimne poslovne dokumente sa ugroženih internet lokacija, umjesto da se fokusira na određene industrije ili geografske lokacije. Ovaj pristup omogućava da se zlonamjerni softver široko širi u različitim sektorima, što ga čini značajnom prijetnjom za organizacije širom sveta ciljane. Žrtve su često mala ili srednja preduzeća sa ograničenim resursima za sajber bezbjednost i zastarelim softverom, jer je veća vjerovatnoća da će postati plen ovih napada.

 

Funkcionisanje

GootLoader lanac infekcije predstavlja pokušaj sofisticiranog zlonamjernog aktera da izbjegne otkrivanje i analizu korištenjem različitih tehnika dizajniranih da se stapaju sa legitimnim aktivnostima preduzeća. Ovo se odvija u nekoliko faza:

 

Prva faza: Početni kompromis

Početni kompromis počinje kada korisnik nesvjesno preuzme arhivu sa ugrožene internet lokacije. Ove arhive se često maskiraju u šablone ili pravne dokumente, što ih čini privlačnim poslovnim korisnicima koji traže takve resurse. Jednom kada se otvori, izvršava se JavaScript korisni teret unutar arhive, što dovodi do druge faze. U ranijim GootLoader verzijama (prije verzije 3.0), ova faza je uključivala preuzimanje i izvršavanje .NET baziranog DLL zlonamjernog softvera preko PowerShell za aktivnosti nakon eksploatacije. Međutim, počevši od verzije 3.0, funkcionalnost se promijenila, pri čemu je prva faza sada demaskirala/ispuštala i izvršavala teret druge faze koristeći planirane zadatke umjesto PowerShell funkcionalnosti.

 

Druga faza: Povećanje veličine

Kao dio svojih napora protiv analize i izbjegavanja, zlonamjerni akteri su dodali funkciju GootLoader zlonamjernom softveru u verziji 3 koja značajno povećava veličinu druge JavaScript datoteke. Ovo povećavanje može da varira u zavisnosti od izabranog metoda, ali ima tendenciju da rezultira datotekama većim od 30 MB. Primarni razlog za to je da se analiza učini dugotrajnijom i intenzivnijom, kao i smanjenje šansi za otkrivanje na osnovu same veličine datoteke koja je nedovoljna.

 

Treća faza: PowerShell korištenje

PowerShell uloga u lancu infekcije GootLoader zlonamjernim softverom evoluirala je tokom njegovih različitih verzija. U ranijim iteracijama (1.0 i 2.0), PowerShell je korišćen za refleksivno učitavanje i izvršavanje DLL zlonamjernog softvera zasnovanog na .NET okruženju kao dio aktivnosti nakon eksploatacije. Međutim, sa verzijom 3.0, PowerShell je preuzeo značajniju ulogu u radu otkrivanja i C2 komunikaciji za izvršavanje komandi u pozadini. Izvršene komande su odgovorne za preuzimanje dodatnog zlonamjernog softvera ili obavljanje drugih zadataka nakon eksploatacije.

PowerShell upotreba od strane ovog zlonamjernog softvera je vrijedna pažnje, jer je to legitiman alat koji se široko koristi u poslovnim okruženjima, što detekciju čini izazovnijim jer se saobraćaj koji se generiše tokom njegove upotrebe može pogrešno shvatiti kao normalna aktivnost. Pored toga, PowerShell sposobnost da izvršava skripte i dinamički učitava DLL datoteke čini ga atraktivnim izborom za zlonamjerne aktere koji žele da izbjegnu tradicionalnu odbranu zasnovanu na potpisima.

Pojava preuzimanja u trećoj fazi zavisi od toga da li se uređaj korisnika nalazi u Active Directory domenu. Ako uređaj pripada takvoj mreži, onda će prva faza već izvršiti svoje zadatke i pokrenuti planirani zadatak za izvršenje druge faze. Nasuprot tome, ako uređaj nije dio Active Directory domena, u ovoj fazi ne dolazi do preuzimanja, jer ne bi bilo potrebe za funkcionalnošću zakazanog zadatka.

 

ZAKLJUČAK

GootLoader je sofisticirana porodica zlonamjernog softvera koja koristi zlonamjerne SEO tehnike da kompromituje internet stranice i namami žrtve da preuzmu zlonamjerne sadržaje prerušene u legitimne dokumente. Lanac infekcije uključuje velike i jako zamućene JavaScript datoteke koje se izvršavaju putem Windows Script Host procesa koji uspostavljaju postojanost na zaraženim sistemima i ispuštaju Cobalt Strike binarne datoteke u memoriju.

Ciljane industrije ili geografske lokacije nisu eksplicitno određene, ali žrtve su prvenstveno oni koji traže i preuzimaju poslovnu dokumentaciju sa ugroženih internet lokacija. Prilagodljivi GootLoader pristup sugeriše potencijalno usavršavanje ciljanja tokom vremena na osnovu efikasnosti kampanje i otkrivenih mehanizama odbrane u različitim sektorima. Organizacije moraju da budu informisane o najnovijim prijetnjama i da primjenjuju robusne bezbjednosne mjere za zaštitu od ovih vrsta napada.

 

ZAŠTITA

Da bi se korisnici i organizacije zaštitili od GootLoader zlonamjernog softvera, neophodno je primijeniti višeslojni bezbjednosni pristup koji uključuje sljedeće preporučene prakse:

  1. Održavati sisteme ažuriranim, jer je to jedan od najefikasnijih načina za sprečavanje napada zlonamjernog softvera. Potrebno je obezbijediti da svi sistemi i aplikacije budu ažurirani sa najnovijim bezbjednosnim ispravkama. Zastareli operativni sistemi i softver mogu ostaviti ranjivosti otvorenim za napadače da ih iskoriste,
  2. Koristiti renomirani antivirusni softver na svim sistemima i uvjeriti se da je podešen da se automatski ažurira. Antivirusni softver može pomoći u otkrivanju i blokiranju poznatih zlonamjernih datoteka, uključujući one koje koristi GootLoader,
  3. Potrebno je biti oprezan sa prilozima i vezama elektronske pošte izbjegavajući otvaranje sumnjivih elektronskih poruka ili klikove na veze iz nepoznatih izvora. Zlonamjerni softver kao što je GootLoader može da se distribuira putem phishing poruka elektronske pošte sa zlonamjernim prilozima ili vezama ka ugroženim internet lokacijama,
  4. Koristiti rješenje za filtriranje internet sadržaja koje blokira poznate zlonamjerne domene, IP adrese i internet lokacije povezane sa GootLoader zlonamjernim softverom. Ovo će spriječiti korisnike da posjećuju ugrožene internet lokacije koje mogu da distribuiraju zlonamjerni softver,
  5. Konfigurisati internet pregledač da blokira skripte, posebno one iz nepouzdanih izvora. Skripte su uobičajen vektor za isporuku zlonamjernog softvera,
  6. Primjenjivati listu dozvoljenih aplikacija kako bi se ograničilo izvršavanje samo odobrenog softvera na sistemima. Ovo može pomoći u sprečavanju izvršavanja poznatih zlonamjernih datoteka,
  7. Osigurati da svi korisnički nalozi imaju jake lozinke i razmisliti o primjeni autentifikacije u više koraka gdje je to moguće. Slabe lozinke su uobičajeni vektor za dobijanje neovlaštenog pristupa sistemima,
  8. Obučiti zaposlene kako da identifikuju elektronske poruke za krađu identiteta i sumnjive veze. Obezbijediti redovnu obuku za podizanje svesti o bezbjednosti kako bi pomogli zaposlenim da razumiju najnovije prijetnje i najbolje prakse za očuvanje bezbjednosti na mreži,
  9. Primijeniti alate za praćenje mreže koji mogu da otkriju anomalne obrasce saobraćaja ili neuobičajene aktivnosti, kao što su višestruki neuspjeli pokušaji prijave sa jedne IP adrese. Ovo može pomoći da se rano identifikuju potencijalni napadi i da se preduzmu odgovarajuće mjere prije nego što prouzrokuju štetu.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.