ViperSoftX zlonamjerni softver koristi PowerShell i AutoIT

AUTOR ·

ViperSoftX je napredna sajber prijetnja koja predstavlja značajan izazov za zajednicu sajber bezbjednosti. Poznat po svojoj strateškoj ponovnoj upotrebi kôda, ViperSoftX koristi AutoIT skripte da sakrije zlonamjerne radnje, što otežava otkrivanje i analizu, uz upotrebu različitih taktika da izbjegne otkrivanje i izvuče osvetljive informacije iz kompromitovanih sistema.

ViperSoftX

ViperSoftX zlonamjerni softver koristi PowerShell i AutoIT; Source: Bing Image Creator

VIPERSOFTX

ViperSoftX je veoma sofisticirani zlonamjerni softver koji se infiltrira u sisteme i eksfiltrira osjetljive informacije, uključujući detalje o sistemu i hardveru, podatke o novčaniku kriptovaluta iz ekstenzija internet pregledača i sadržaj međuspremnika. Prošao je nekoliko iteracija od njegovog prvobitnog otkrivanja 2020. godine i širi se uglavnom putem krekovanog softvera ili e-knjiga preko torrent platformi.

 

Funkcionisanje

Proces infekcije počinje kada korisnik nesvjesno preuzme i izvrši zaraženu datoteku ili klikne na zlonamjernu vezu koja pokreće izvršavanje datoteke prečice. Ova naizgled bezopasna datoteka sadrži skrivene PowerShell komande u svojim praznim prostorima, koje se šire sa nekoliko evidencija procesa da bi se izbjeglo otkrivanje. Ove komande brišu sve LNK datoteke u trenutnom direktorijumu i preuzimaju dodatne komponente sa udaljenih servera, uspostavljajući trajno prisustvo na kompromitovanom sistemu.

Sljedeća faza ViperSoftX napada uključuje modifikaciju memorije funkcije Antimalware Scan Interface (AMSI) da bi se zaobišle bezbjednosne provjere skripti. Na taj način, ViperSoftX može da izvrši svoj korisni teret bez otkrivanja. Ova faza je ključna za zlonamjerni softver, jer mu omogućava da uspostavi uporište u sistemu i započne aktivnosti eksfiltracije podataka.

 

“Štaviše, ViperSoftX sposobnost da zakrpi Interfejs za skeniranje protiv zlonamjernog softvera (AMSI) pre izvršavanja PowerShell skripti naglašava njegovu odlučnost da zaobiđe tradicionalne mjere bezbjednosti.”

– Mathanraj Thangaraju and Sijo Jacob, Trellix-

 

Primarni ViperSoftX teret se isporučuje preko PowerShell skripti koje su skrivene unutar AutoIT skripti ili drugih naizgled bezopasnih datoteka. Skripta stupa u interakciju sa .NET Common Language Runtime (CLR) okvirom da bi izvršila ove komande, zaobilazeći različite mjere bezbjednosti i dobijajući pristup sistemu. Ova taktika omogućava ViperSoftX zlonamjernom softveru da izvrši niz zlonamjernih aktivnosti, uključujući eksfiltraciju podataka, praćenje korisničkog unosa (eng. keylogging), instaliranje dodatnog zlonamjernog softvera ili čak izvođenje ransomware napada.

 

“Korištenjem CLR, ViperSoftX može neprimjetno da integriše PowerShell funkcionalnost, omogućavajući mu da izvršava zlonamjerne funkcije dok izbjegava mehanizme otkrivanja koji bi inače mogli da obilježe samostalnu PowerShell aktivnost.”

– Mathanraj Thangaraju and Sijo Jacob, Trellix-

 

Mehanizmi izbjegavnja

Da bi zaštitio svoje komunikacione kanale i metode eksfiltracije podataka od otkrivanja, ViperSoftX koristi različite tehnike šifrovanja kao što su obrnuto base64 kodiranje i Advanced Encryption Standard (AES) enkripcija. Ovi algoritmi otežavaju bezbjednosnim rješenjima dešifrovanje šifrovanog saobraćaja ili podataka, omogućavajući ViperSoftX zlonamjernom softveru da održava svoje skrivene komunikacione kanale i neotkriveno eksfiltrira osjetljive informacije.

Da bi izbjegao otkrivanje i ostao ispod radara, ViperSoftX koristi i lažna imena hostova kao što su security-microsoft[.]com ili slična imena za mrežnu komunikaciju. Ova taktika otežava razlikovanje legitimnog Microsoft saobraćaja i zlonamjerne aktivnosti ovog zlonamjernog softvera. Pored toga, zlonamjerni softver kodira sistemske informacije u formatu base64 i isporučuje podatke putem POST zahteva sa dužinom sadržaja “0”. Ova taktika ima za cilj da izbjegne pažnju zbog nedostatka sadržaja tijela.

Tehnike zamagljivanja koje se koriste u ViperSoftX zlonamjernom softveru dodaju slojeve složenosti koje izazivaju sigurnosne istraživače koji pokušavaju da dešifruju njegovu funkcionalnost. Ove metode uključuju remapiranje bajtova, gdje se svaka vrijednost bajta u segmentu kôda zamjenjuje drugom vrjednoću bajta na osnovu unaprijed definisane šeme mapiranja. Ovo otežava alatima za analizu da prepoznaju originalna uputstva i razumiju njihovu namjenu.

 

ZAKLJUČAK

ViperSoftX je sofisticirani zlonamjerni softver koji je evoluirao od svog prvobitnog otkrivanja 2020. godine. Prvobitno se širi putem krekovanog softvera i torrent stranica, a najnovija varijanta ove prijetnje sada se maskira kao e-knjige preko torrent stranica kako bi zarazila korisnike. Jedna od njegovih najznačajnijih mogućnosti uključuje AutoIT korištenje za interakciju sa .NET Common Language Runtime (CLR), omogućavajući mu da tajno izvršava PowerShell komande unutar AutoIT okruženja.

Upotreba AutoIT okruženja u zlonamjerne svrhe prevazilazi njegovo benigno poreklo, što ga čini moćnim oružjem u rukama napadača. Prethodni izvještaji sugerisali su da je primarni cilj ViperSoftX zlonamjernog softvera bio novčana dobit kroz krađu kriptovaluta. Međutim, nedavne tehnike zamagljivanja i ciljanje profesionalaca sa lažnim preuzimanjem e-knjiga ukazuju na to da se ciljevi ovog zlonamjernog softvera mogu proširiti izvan finansijske dobiti.

Sposobnost zlonamjernog softvera da sakrije svoje radnje pomoću tehnika zamagljivanja dodaje slojeve složenosti istraživačima i alatima za analizu koji pokušavaju da dešifruju njegovu funkcionalnost. ViperSoftX je jasan primjer kako napadači prilagođavaju svoje taktike da izbjegnu otkrivanje i iskoriste ranjivosti u dinamičkom okruženju sajber prijetnji. Ovaj zlonamjerni softver predstavlja značajan rizik za organizacije i pojedince zbog svoje sposobnosti da tajno izvršava PowerShell komande unutar AutoIT okruženja. ViperSoftX evolucija od primarnog širenja putem krekovanog softvera do ciljanja korisnika sa preuzimanjima e-knjiga naglašava važnost informisanja o novim prijetnjama i sprovođenja robusnih bezbjednosnih mjera za zaštitu od takvih napada.

 

ZAŠTITA

Za efikasnu zaštitu od naprednog zlonamjernog softvera poznatog kao ViperSoftX, ključno je primijeniti višeslojnu strategiju odbrane koja pokriva mogućnosti otkrivanja, prevencije i reagovanja. Evo nekoliko preporučenih koraka koji će pomoći korisnicima da zaštitite svoje sisteme:

  1. Uvjeriti se da su svi operativni sistemi, aplikacije i dodaci nezavisnih proizvođača ažurirani najnovijim bezbjednosnim ispravkama. Zastareli softver može ostaviti ranjivosti otvorenim za napadače da ih iskoriste,
  2. Koristiti renomirano antivirusno rješenje koje uključuje zaštitu u realnom vremenu od poznatih prijetnji zlonamjernog softvera, kao i mogućnosti analize ponašanja i heuristike za otkrivanje novih ili nepoznatih prijetnji,
  3. Ograničiti upotrebu PowerShell skripti na sistemima primjenom postavki Group Policy smjernica ili drugih metoda da bi se ograničilo njihovo izvršavanje osim ako je neophodno. Ovo može pomoći da se spriječi pokretanje neovlaštenih PowerShell komandi, što je uobičajena tehnika koju koristi ViperSoftX,
  4. Nadgledati mrežni saobraćaj prateći dolazni i odlazni mrežni saobraćaj na bilo kakve sumnjive aktivnosti, kao što su veze sa poznatim zlonamjernim domenima ili neobični POST zahtevi sa tijelom nulte dužine. Koristite alate kao što su zaštitni zidovi, sistemi za otkrivanje upada (eng. intrusion detection systems – IDS) i rješenja za bezbjednosne informacije i upravljanje događajima (SIEM) da bi se pomoglo u identifikaciji i blokiranju potencijalnih prijetnji,
  5. Koristite tehnologije liste dozvoljenih aplikacija da bi se ograničilo izvršavanje neodobrenog softvera na sistemima. Ovo može spriječiti pokretanje zlonamjernog softvera kao što je ViperSoftX, jer se često distribuira preko prikrivenih datoteka ili preuzima preko lažnih torrent datoteka,
  6. Obučiti zaposlene i krajnje korisnike o praksama bezbjednog pregledanja, kao što su izbjegavanje sumnjivih internet lokacija, priloga elektronske pošte i preuzimanje softvera iz nepouzdanih izvora. Ovo može pomoći u sprečavanju početne infekcije zlonamjernim softverom,
  7. Redovno praviti rezervne kopije podataka i uvjeriti se da se svi kritični podaci kao kopije čuvaju na drugoj lokaciji ili na usluzi skladištenja u oblaku. U slučaju uspješnog napada od strane ViperSoftX zlonamjernog softvera, skorašnja rezervna kopija će omogućiti da brzo vrate sve izgubljene informacije i smanji uticaj napada,
  8. Primijeniti jake kontrole pristupa korištenjem jakih lozinke, autentifikacije u više koraka (eng. multi-factor authentication – MFA) i smjernica za kontrolu pristupa zasnovane na ulogama da da bi se ograničilo izlaganje osjetljivih podataka i sistema. Ovo može pomoći u sprečavanju neovlaštenog pristupa od strane napadača koji pokušavaju da ukradu podatke koristeći ViperSoftX ili drugi zlonamjerni softver,
  9. Redovno vršiti skeniranje ranjivosti, penetracijsko testiranje i analizu obavještajnih podataka o prijetnjama na mrežama i aplikacijama da bi se identifikovale sve slabosti koje bi mogle da iskoriste napredne prijetnje. Ovo će pomoći da odbrana bude što je moguće jača,
  10. Potrebno je biti u toku sa najnovijim podacima o prijetnjama, ranjivostima i najboljim praksama iz pouzdanih izvora kao što su dobavljači sajber bezbjednosti, vladine agencije i industrijske organizacije da bi se pomoglo u zaštiti od novih prijetnji.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.