CoffeeLoader: Nova sofisticirana porodica zlonamjernog softvera

AUTOR ·

CoffeeLoader je nova sofisticirana porodica zlonamjernog softvera prijeti da poremeti bezbjednosni pejzaž svojim naprednim tehnikama izbjegavanja. Ova sofisticirana prijetnja je dizajnirana da nadmudri čak i najpažljivije softvere za detekciju i odgovor na prijetnje (eng. Endpoint detection and response – EDR) i antivirusne sisteme, što čini glavnim prioritetom analize za stručnjake u sajber bezbjednosti, pokazuje istraživanje kompanije Zscaler.

CoffeeLoader

CoffeeLoader: Nova sofisticirana porodica zlonamjernog softvera; Source: Bing Image Creator

COFFEELOADER

CoffeeLoader je napredni učitavač zlonamjernog softvera dizajniran da izbjegne otkrivanje dok primjenjuje druge faze korisnog tereta (eng. payloads). Ova sofisticirana prijetnja privlači pažnju sigurnosnih istraživača, koji ističu njenu sposobnost da sa lakoćom zaobiđe mjere bezbjednosti krajnjih uređaja. Kod varijante zlonamjernog softvera CoffeeLoader uzorci su upakovani, što znači da su podvrgnuti kompresiji i šifrovanju da bi ih bilo teže analizirati.

Upotreba tehnika pakovanja nije neuobičajena u svetu zlonamjernog softvera, ali ono što izdvaja CoffeeLoader od drugih učitavača je njegov jedinstveni alat za pakovanje zasnovan na upotebi grafičke procesorske jedinice (eng. graphics processing unit – GPU). Ovaj specijalizovani alat koristi grafičku procesorsku jedinicu (GPU) za kompresovanje i šifrovanje zlonamjernog kôda, što dodatno otežava otkrivanje bezbjednosnim rješenjima. Na ovaj način, korišćenjem snage grafičke procesorske jedinice (GPU) računara, CoffeeLoader može ometati analizu u virtuelnim okruženjima, gdje se sigurnosni istraživači zlonamjernog softvera često oslanjaju na tehnike izolovanog okruženja (eng. sandboxing) da bi proučavali i razumjeli prijetnje.

Upotreba alata za pakovanje zasnovanog na grafičkim procesorskim jedinicama (GPU) računara nije samo inovativna već i veoma efikasna. Omogućava CoffeeLoader zlonamjernom softveru da izbjegne otkrivanje od antivirusnog softvera i softvere za detekciju i odgovor na prijetnje (EDR) koji bi inače mogli označiti zlonamjerni kôd kao sumnjiv. To znači da čak i ako je organizacija primijenila robusne mjere bezbjednosti i dalje može biti ranjiva na napade ovog sofisticiranog učitavača zlonamjernog softvera.

Treba napomenuti da postoji značajna sličnost između CoffeeLoader zlonamjernog softvera i druge porodice zlonamjernog softvera pod nazivom SmokeLoader pošto djele mnoge tehnike izbjegavanja. Međutim, u ovom trenutku ostaje nejasno da li je CoffeeLoader evolucija SmokeLoader zlonamjernog softvera ili su ove sličnosti slučajne.

 

Distribucija

Primarni način širenja CoffeeLoader zlonamjernog softvera je oponašanjem legitimnog softvera i slanjem phishing poruka elektronske pošte koje sadrže zlonamjerne priloge koji se maskiraju kao legitimni PDF dokumenti ili programi za instalaciju aplikacija. Ova metoda, iako sama po sebi nije nova, pokazala se izuzetno efikasnom za širenje ovog zlonamjernog softvera.

Oponašanje legitimnog softvera za širenje zlonamjernog softvera je taktika koju su koristili različiti zlonamjerni akteri tokom godina. Međutim, ono što izdvaja CoffeeLoader zlonamjerni softver je njegova sposobnost da ubjedljivo oponaša legitimne sistemske procese i izbjegne otkrivanje tradicionalnim bezbjednosnim mjerama. Ova sofisticiranost mu omogućava da održi postojanost na inficiranim uređajima u dužem vremenskom periodu, čineći napore sanacije još izazovnijim.

Phishing elektronske poruke sa zlonamjernim prilozima u ovom slučaju su posebno podmukle, jer se mogu prilagoditi tako da izgledaju kao da potiču iz legitimnih izvora, kako bi lakše prevarile korisnike. Ovaj nivo sofisticiranosti otežava krajnjim korisnicima da prave razliku između prave komunikacije i one zlonamjerne.

 

Funkcionisanje

Jednom pokrenut, CoffeeLoader zlonamjerni softver započinje svoju misiju uspostavljanjem uporišta unutar kompromitovanog sistema. Ova početna faza postavlja teren za dalje zlonamjerne aktivnosti i omogućava zlonamjernom softveru da preuzme kontrolu nad različitim aspektima sistema.

Da bi se postigao ovaj cilj, CoffeeLoader zlonamjerni softver izvršava rutinu instalacije, koja uključuje više varijanti koje implementiraju različite funkcionalnosti. Jedna verzija kopira upakovani DLL u korisnički privremeni direktorijum i izvršava ga koristeći bilo direktno izvršavanje (sa povišenim privilegijama) ili zaobilaznicu za kontrolu korisničkog naloga (eng. user account control – UAC bypass) ako nema povišene privilegije.

Zlonamjerni softver je takođe dizajniran da uspostavi postojanost na uređaju pomoću planiranog zadatka koji je konfigurisan da se pokreće ili nakon prijavljivanja korisnika sa najvišim nivoom privilegija za pokretanje ili u suprotnom svakih 10 minuta. Ovaj korak je praćen izvršavanjem komponente postavljača, koja zauzvrat učitava glavni modul. Glavni modul implementira brojne tehnike za izbjegavanje antivirusnog i softvera za detekciju i odgovor na prijetnje (EDR), uključujući lažno predstavljanje pozivnog niza (eng. call stack spoofing), prikrivanje aktivnosti mirovanja (eng. sleep obfuscation) i korištenje Windows Fibers tehnologije.

Lažno predstavljanje pozivnog niza omogućava sakrivanje porijekla poziva funkcije, čime se izbjegavaju bezbjednosni alati koji analiziraju tragove pozivnog niza. Ono postavlja sintetičke okvire pozivnog niza i dinamički mapira sistemske pozive, zaobilazeći tačke presretanja u korisničkom režimu rada. To predstavlja izazov softvere za detekciju i odgovor na prijetnje (EDR) da nadgledaju i reaguju na aktivnosti CoffeeLoader zlonamjernog softvera. Ovo omogućava zlonamjernom softveru da zadrži svoje prisustvo u sistemu uprkos pokušajima bezbjednosnih timova da otkriju i reaguju na njegove aktivnosti.

Dalje, korištenjem tehnika prikrivanja aktivnosti mirovanja, CoffeeLoader zlonamjerni softver šifruje svoju memoriju dok je neaktivan, dešifrujući se samo tokom izvršavanja. Šifrovanjem svoje memorije dok je neaktivan, CoffeeLoader može ostati skriven od pogleda do vremena izvršenja, kada dešifruje svoj kôd i počinje da izvršava zlonamjerne korisne podatke. Takođe zaobilazi Windows Control Flow Guard – CFG tako što mijenja memorijske dozvole i dodaje izuzetke za ključne sistemske funkcije, što je ponovo izazov za softvere za detekciju i odgovor na prijetnje (EDR).

Na kraju, CoffeeLoader zlonamjerni softver koristi Windows Fibers tehnologiju, na način da istovremeno izvršava više niti (eng. threads), što tradicionalnim bezbjednosnim alatima predstavlja izazov prilikom nadgledanja i analize njegovog ponašanja. Ovo omogućava zlonamjernom softveru da izbjegne otkrivanje od strane alata koji se oslanjanju na na nadgledanje pokrenutih procesa kako bi identifikovali zlonamjerne aktivnosti.

 

Komandno kontrolni server (C2)

Jedan od glavnih zadatka glavnog modula CoffeeLoader zlonamjernog softvera je da komunicira sa svojim komandnim i kontrolnim (C2) serverom preko HTTPS protokola. Ove komunikacije su šifrovane korišćenjem pinovanja certifikata kako bi se spriječili TLS napadi čovjeka u sredini (eng. man-in-the-middle attack – MitM) koji mogu presresti osjetljive informacije.

Krajnji cilj ovih operacija je da CoffeeLoader zlonamjerni softver dobije dalje instrukcije ili korisne podatke sa C2 servera, koji mogu uključivati komande za ubacivanje i izvršavanje Rhadamanthys kôda za izvršavanje u komandnom okruženju na kompromitovanim sistemima. Ovo omogućava autorima zlonamjernog softvera da zadrže kontrolu nad inficiranim uređajima i nastave sa svojim zlonamjernim aktivnostima neporemećeni od strane sigurnosnog softvera.

 

Komande

CoffeeLoader zlonamjerni softver podržava nekoliko komandi koje mu omogućavaju da ubaci i izvrši komande u komandnom okruženju, izvršne i DLL datoteke. Ove komande uključuju mirovanje, ubacivanje i pokretanje komandi u komandnom okruženju u određenom procesu, ažuriranje metode prikrivanja aktivnosti mirovanja i vremenskog ograničenja, upisivanje izvršnog korisnog tereta u privremeni direktorijum korisnika i njegovo pokretanje i upisivanje DLL korisnog tereta u privremeni direktorijum i njegovo izvršavanje.

Ove komande pružaju CoffeeLoader zlonamjernom softveru niz mogućnosti koje mu omogućavaju da izvrši zlonamjerni kôd u različitim kontekstima. Podržavajući više tipova korisnih opterećenja, uključujući pokretanje komandi u komandnom okruženju, izvršne i DLL datoteke, zlonamjerni softver može da prilagodi svoje ponašanje tako da odgovara različitim scenarijima infekcije.

 

Uticaj

Uticaj zlonamjernog softvera na korisnike je potencijalno ozbiljan. Jednom inficiran ovim zlonamjernim softverom, korisnikov uređaj može postati kanal za dalje zlonamjerne aktivnosti, kao što su krađa podataka, neovlašteni pristup osjetljivim informacijama ili čak primjena dodatnog sadržaja zlonamjernog softvera. Činjenica da CoffeeLoader zlonamjerni softver koristi napredne tehnike izbjegavanja, čini ga posebno izazovnim za otkrivanje i uklanjanje iz inficiranih sistema. Korisnici možda neće biti svjesni da su njihovi uređaji kompromitovani sve dok se već ne dogodi značajna šteta ili dok ne dobiju obavještenje o sumnjivoj aktivnosti na njihovim nalozima.

Međutim, uticaj CoffeeLoader zlonamjernog softvera seže dalje od pojedinačnih korisnika, pošto su organizacije takođe izložene riziku zbog sposobnosti ovog zlonamjernog softvera da izbjegne detekciju od strane bezbjednosnih rješenja. Organizacije koje ne uspiju da se pozabave prijetnjom koju predstavlja CoffeeLoader zlonamjerni softver rizikuju da se suoče sa značajnim posljedicama, uključujući finansijske gubitke zbog ugrožavanja podataka ili neovlaštenog pristupa osjetljivim informacijama. Organizacije se takođe mogu suočiti sa gubitkom reputacije ako se utvrdi da ih je kompromitovao sofisticirani zlonamjerni softver kao što je CoffeeLoader. Pored ovih direktnih troškova i rizika, postoji i indirektan uticaj na sposobnost organizacije da održi povjerenje kod svojih kupaca i partnera.

Kao rezultat svega navedenog, neophodno je da pojedinci i organizacije budu svjesni ove nove varijante zlonamjernog softvera i da preduzmu proaktivne mjere kako bi spriječili njegovo širenje u svom okruženju.

 

ZAKLJUČAK

CoffeeLoader je zlonamjerni softver koji otjelotvorenje složenost i sofisticiranost savremenih prijetnji. Njegova upotreba naprednih tehnika kao što su lažno predstavljanje pozivnog niza, prikrivanje aktivnosti mirovanja i korištenje Windows Fibers tehnologije čini ga ozbiljnim protivnikom za bezbjednosne sisteme. Činjenica da je zlonamjerni akter integrisao inovativne ofanzivne ideje u ovaj zlonamjerni program za učitavanje dodatno naglašava njegov potencijalni uticaj na sajber bezbjednost.

Sličnosti između SmokeLoader i CoffeeLoader zlonamjernog softvera su takođe vrijedne pažnje, što ukazuje na moguću vezu ili evoluciju između ove dvije porodice zlonamjernog softvera. Ovo postavlja važna pitanja o poreklu CoffeeLoader zlonamjernog softvera i kako se uklapa u širi pejzaž sajber prijetnji. Detaljnijim ispitivanjem biće moguće steći dublje razumijevanje motiva iza ove prijetnje i njenog potencijalnog uticaja na sajber bezbjednost.

Istraživanje ove zlonamjerne prijetnje je istaklo važnost razmatranja više faktora prilikom procjene prijetnje koju predstavlja CoffeeLoader zlonamjerni softver. Ovo uključuje ne samo njegove tehničke mogućnosti već i njegove obrasce ponašanja i mrežni protokol. Uzimajući sveobuhvatni pristup analizi ovog zlonamjernog softvera, moguće je steći sveobuhvatnije razumijevanje njegovog potencijalnog uticaja i razviti efikasne protivmjere.

Pored toga, istraživanje CoffeeLoader zlonamjernog softvera je naglasilo potrebu za kontinuiranim inovacijama u sajber bezbjednosti. Kako se nove prijetnje pojavljuju i razvijaju, od suštinske je važnosti da profesionalci u oblasti bezbjednosti ostanu ispred zlonamjernih aktera tako što će razvijati efikasne protivmjere i dijeliti svoje znanje sa drugima. Radeći zajedno, moguće je stvoriti bezbjedniji digitalni pejzaž u kome zlonamjerni softver sličan CoffeeLoader zlonamjernom softveru ne može da prođe pored inovativnih i dobro postavljenih mjera zaštite.

Kako ova prijetnja nastavlja da se razvija, ključno je da profesionalci u sajber bezbjednosti ostanu svjesni njenih mogućnosti i da preduzmu korake da ublaže njene posljedice. Na taj način moguće je zaštiti korisnike, organizacije i društvo u cjelini od razornih posljedica sajber napada.

 

ZAŠTITA

U nastavku slijedi nekoliko preporuka za zaštiti od CoffeeLoader zlonamjernog softvera:

  1. Organizacije moraju da obezbijede da je njihov softver za bezbjednost na krajnjim uređajima ažuriran sa najnovijim antivirusnim definicijama da bi se otkrile i spriječile infekcije CoffeeLoader zlonamjernim softverom;
  2. Implementacijom liste dozvoljenih aplikacija, organizacije mogu da odrede koje aplikacije smiju da se pokreću na njihovim sistemima, čime sprečavaju da se zlonamjerne aplikacije poput CoffeeLoader zlonamjernog softvera izvrše. Ovo treba uraditi i za korisnički i sistemski kontekst kako bi se osigurala sveobuhvatna zaštita;
  3. Redovno skeniranje sumnjivih agenata za pokretanje ili servisa je ključno, jer oni mogu poslužiti kao trajni mehanizmi za zlonamjerni softver kao što je CoffeeLoader zlonamjerni softver, omogućavajući mu da zadrži uporište na inficiranim sistemima čak i nakon ponovnog pokretanja. Koristiti alate koji prate aktivnost sistema i označavaju svako neobično ponašanje;
  4. Primjena rješenja za nadgledanje aktivnosti sistema će pomoći da se identifikuju potencijalne infekcije u ranoj fazi procesa praćenjem promjena napravljenih u datotekama, unosima u sistemske registre ili drugim komponentama sistema. Ovaj proaktivni pristup može spriječiti CoffeeLoader zlonamjerni softver da uspostavi mehanizme postojanosti na inficiranim sistemima;
  5. Segmentiranje mreža na manje zone na osnovu osjetljivosti i funkcije je najbolja praksa za smanjenje površina napada. Na taj način, ako dođe do infekcije u jednom segmentu, biće izolovan od ostatka mreže, ograničavajući njen potencijalni uticaj;
  6. Redovne rezervne kopije su neophodne da bi se obezbijedio kontinuitet poslovanja čak i u slučaju ugrožavanja podataka ili pada sistema uzrokovanih infekcijama CoffeeLoader zlonamjernim softverom. Ovo bi trebalo da uključuje i opcije skladištenja na licu mjesta i van njega za dodatnu redundantnost;
  7. Obrazovanje korisnika o opasnostima koje predstavlja zlonamjerni softver kao što je CoffeeLoader je od ključnog značaja, jer oni često služe kao ulazne tačke u sisteme putem phishing napada ili drugih taktika društvenog inženjeringa. Redovne sesije obuke mogu pomoći u podizanju svesti među zaposlenima u vezi sa bezbjednim korišćenjem uređaja;
  8. Koristiti alate za obavještavanje o prijetnji koje pokreće vještačka inteligencija (eng. artificial intelligence – AI) kako bi se ostalo ispred novih prijetnji kao što je CoffeeLoader zlonamjerni softver, koji koriste napredne tehnike izbjegavanja. Ova rješenja pružaju uvid u potencijalne rizike u realnom vremenu i nude korisne savjete o strategijama ublažavanja;
  9. Uvjeriti se da su svi sistemi bezbjedno konfigurisani od samog početka sa odgovarajućim podešavanjima u vezi sa atributima datoteka (npr. sistemski i skriveni), zakazanim zadacima i drugim relevantnim parametrima da bi se spriječile infekcije CoffeeLoader zlonamjernim softverom;
  10. Sprovođenje redovnih vježbi penetracijskog testiranja može pomoći u identifikaciji ranjivosti u okviru odbrane organizacije koje bi CoffeeLoader i sličan zlonamjerni softver mogao da iskoristi za mehanizme postojanosti ili krađu podataka. Ovaj proaktivni pristup omogućava organizacijama da se pozabave slabostima pre nego što postanu meta zlonamjernih aktera.

Primjenom ovih preporuka, organizacije mogu značajno da smanje svoju izloženost riziku od prijetnji koje predstavljaju sofisticirane porodice zlonamjernog softvera kao što je CoffeeLoader i da zadrže snažan odbrambeni stav od evoluirajućih sajber prijetnji.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.