Snake Keylogger zaobilazi Windows Defender

AUTOR ·

Sigurnosni istraživači su otkrili sofisticiranu phishing kampanju koja koristi Snake Keylogger kako bi se izbjeglo otkrivanje čak i od strane najrobusnijih bezbjednosnih mjera. Sposobnost zlonamjernog softvera da zaobiđe Windows Defender naglašava potrebu da branioci preispitaju svoje strategije i usvoje proaktivnije pristupe ublažavanju prijetnji.

Snake Keylogger

Snake Keylogger zaobilazi Windows Defender; Source: Bing Image Creator

SNAKE KEYLOGGER

Snake Keylogger je vrsta zlonamjernog softvera koji predstavlja značajnu prijetnju korporativnoj i ličnoj sajber bezbjednosti. To je zlonamjerni softver za krađu podataka i praćenje korisničkog unosa (eng. keylogger), prvi put otkriven u novembru 2020. godine. Napisana je u .NET programskom okruženju i ima modularne mogućnosti.

Primarna svrha Snake Keylogger zlonamjenrog softvera je prikupljanje pristupnih podataka za upotrebu u napadima preuzimanja naloga. Njegove ključne karakteristike uključuju praćenje korisničkog unosa, krađu sačuvanih pristupnih podataka, pravljenje snimaka ekrana i prikupljanje podataka iz međuspremnika (eng. clipboards) koji se šalju zlonamjernom akteru. Obično se širi putem phishing ili spear phishing kampanja putem zlonamjernih Office ili PDF dokumenata koji se izvršavaju kada su makroi omogućeni ili se koristi ranjiva verzija Office ili PDF čitača.

 

Nova phishing kampanja

Identifikovana phishing kampanja zlonamjernog softvera Snake Keylogger je usmjerena na turska preduzeća, posebno ona u odbrambenoj i vazduhoplovnoj industriji.

Primijećeno je da se zlonamjerni akteri predstavljaju kao TUSAŞ (Turska vazduhoplovna industrija), istaknuti turski izvođač radova u oblasti odbrane, putem lažne elektronske pošte maskirane u zvaničnu prepisku. Ova elektronska pošta dostavlja zlonamjerne datoteke prikrivene kao ugovorna dokumenta, posebno koristeći imena datoteka poput “TEKLİF İSTEĞİ – TUSAŞ TÜRK HAVACILIK UZAY SANAYİİ_xlsx.exe”. Ova taktika je osmišljena da prevari primaoce i da ih natjera da pokrenu korisni teret (eng. payload), što na kraju dovodi do raspoređivanja Snake Keylogger zlonamjernog softvera.

Jednom pokrenut na kompromitovanom sistemu, ovaj zlonamjerni softver uspostavlja više slojeva postojanosti dok implementira mehanizme protiv detekcije kako bi se osigurao dugoročni pristup osjetljivim podacima. Sposobnost zlonamjernog softvera da izbjegne tradicionalne bezbjednosne kontrole čini njegovo otkrivanje posebno teškim.

 

Funkcionisanje

Kada korisnik otvori prilog, zlonamjerna datoteka se otkriva kao benigni uslužni program za konverziju temperature, ali ovaj početni lažni prikaz služi samo kao plašt za program za učitavanje (eng. loader). Zlonamjerni softver koristi slojevito učitavanje, dinamički raspakujući i pokrećući sekundarne korisne opterećenja direktno u memoriji, otežavajući njihovu analizu korištenjem standardnih alata. Ovaj pristup omogućava zlonamjernim akterima da sakriju svoje prave namjere od sigurnosnih istraživača i analitičara.

Upotreba mehanizama dinamičkog učitavanja omogućava zlonamjernom softveru da učitava dodatne komponente na zahtev, što otežava braniocima da identifikuju i blokiraju sve potencijalne prijetnje. Osim toga, ova slojevita struktura može se koristiti za distribuciju različitih korisnih opterećenja ili funkcionalnosti na više slojeva, povećavajući složenost analize i napora otkrivanja.

Analiza tokom izvršavanja je pokazala da glavna izvršna datoteka dinamički učitava zamaskirani resurs koristeći .NET mehanizme Assembly.Load i Activator.CreateInstance. Ovaj pristup omogućava zlonamjernim akterima da sakriju svoj pravi zlonamjerni kôd od javnog pogleda, što sigurnosnim istraživačima otežava identifikaciju i analizu zlonamjernog softvera.

Korištenje dinamičkih mehanizama učitavanja i aktivacije takođe omogućava zlonamjernom softveru da se prilagodi različitim okruženjima i izbjegne otkrivanje od strane tradicionalnih bezbjednosnih rješenja zasnovanih na potpisima. Korištenjem ovih naprednih tehnika, zlonamjerni akteri mogu osigurati da njihovi korisni tereti ostanu neotkriveni i da nastave da rade na ugroženim sistemima.

Analizirani uzorci u ovom slučaju pokušavaju da osiguraju svoju postojanost i prikrivenost korištenjem naprednih mehanizama protiv detekcije. Analiza otkriva da Snake Keylogger pokreće PowerShell komande koje eksplicitno dodaju zlonamjerni izvršnu datoteku na Windows Defender listu izuzetaka, štiteći ga od podrazumijevane zaštite krajnjih tačaka kompanije Microsoft.

Pored toga, zlonamjerni softver kreira zakazani zadatak putem schtasks.exe, registrujući se za automatsko izvršavanje pri pokretanju sistema, garantujući da će uporište zlonamjernog aktera preživjeti ponovna pokretanja. Ova taktika postojanosti naglašava napredne operacije i ističe potrebu da branioci usvoje proaktivnije pristupe praćenju bezbjednosti i reagovanju na incidente.

 

Krađa podataka

Zlonamjerni softver Snake Keylogger sistematski cilja lokacije za skladištenje podataka u internet pregledačima, uključujući podatke za automatsko popunjavanje, lozinke, kolačiće, istoriju preuzimanja i sačuvane podatke o kreditnim karticama. Ovaj širok spektar ciljanih tipova podataka sugeriše da su zlonamjerni akteri zainteresovani za ugrožavanje ne samo korisničkih pristupnih podataka već i finansijskih informacija i navika pregledanja. Konkretni internet pregledači koje cilja Snake Keylogger su Chrome, Edge, Firefox i razne Chromium varijnte popularne među regionalnim korisnicima.

Fokus Snake Keylogger zlonamjernog softvera na lokacije za skladištenje podataka u internet pregledačima vjerovatno je vođen široko rasprostranjenom upotrebom internet aplikacija za autentifikaciju i autorizaciju. Ciljanjem ovih oblasti, zlonamjerni akteri mogu dobiti pristup mnoštvu osjetljivih informacija koje možda nisu adekvatno zaštićene tradicionalnim bezbjednosnim mjerama. Osim toga, uključivanje podataka o kreditnim karticama na ovu listu sugeriše da su finansijske institucije takođe potencijalne mete.

Pored lokacija za skladištenje podataka u internet pregledačima, Snake Keylogger zlonamjerni softver je dizajniran da traži podatke za prijavu sačuvane u klijentima elektronske pošte kao što su Outlook, FoxMail i Thunderbird. Ovo širenje na teritoriju klijenata elektronske pošte naglašava interesovanje zlonamjernog aktera za ugrožavanje ne samo podataka za autentifikaciju korisnika već i osjetljivih informacija o konfiguraciji vezanih za naloge elektronske pošte.

Uključivanje ključeva registra sistema Windows među ciljanim oblastima sugeriše da Snake Keylogger zlonamjerni softver možda ispituje lokacije za skladištenje podataka na nivou cijelog sistema u potrazi za potencijalnim akreditivima ili drugim vrijednim podacima. Korištenje prilagođenih rutina za dešifrovanje sačuvanih podataka o konfiguraciji podrazumijeva nivo sofisticiranosti i prilagodljivosti od strane zlonamjernog aktera, koji vjerovatno pokušavaju da izbjegnu otkrivanje tradicionalnim bezbjednosnim mjerama.

Ciljanje klijenata elektronske pošte je takođe vrijedno pažnje, jer sugeriše interesovanje za ugrožavanje detalja o autentifikaciji naloga elektronske pošte, koji se mogu koristiti za dalje zlonamjerne aktivnosti kao što su phishing ili spam.

 

Preuzimanje podataka

Preuzimanje prikupljenih podataka je ključni aspekt operacija Snake Keylogger zlonamjernog softvera, omogućavajući zlonamjernim akterima da prenose ukradene informacije nazad na svoje komandne i kontrolne (C2) servere. Primijećeno je da Snake Keylogger zlonamjerni softver koristi više kanala za krađu podataka, sa jednim primarnim vektorom koji se izdvaja: komunikacija zasnovana na SMTP protokolu.

Komunikacija zasnovana na Simple Mail Transfer Protocol – SMTP protokolu je uobičajena metoda koju zlonamjerni akteri koriste za prenos ukradenih podataka nazad na svoje C2 servere. Ovaj protokol omogućava slanje i primanje poruka elektronske pošte preko interneta, što ga čini atraktivnim izborom za operatere zlonamjernog softvera koji žele da kradu osjetljive informacije. U ovoj kampanji, komunikacija zasnovana na SMTP protokolu primijećena kao primarni vektor za prenos podataka.

Upotreba SMTP protokola u ovom slučaju nije iznenađujuća, s obzirom na njegovo široko rasprostranjeno usvajanje u različitim industrijama i organizacijama. Zlonamjerni akteri često koriste postojeću infrastrukturu i protokole kako bi olakšali svoje zlonamjerne aktivnosti, što čini neophodnim da branioci budu svjesni ovih taktika. Korištenjem SMTP protokola, zlonamjerni akteri mogu da prenose ukradene podatke bez izazivanja sumnje, jer je komunikacija putem elektronske pošte normalan dio poslovnih operacija.

Konfiguracije i pristupni podaci za SMTP eksfiltraciju su ugrađeni u binarnu datoteku, zaštićeni Data Encryption Standard – DES šifrovanjem. Ovaj nivo zaštite sugeriše da su zlonamjerni akteri preduzeli korake da sakriju svoju C2 infrastrukturu od otkrivanja od strane sigurnosnih istraživača ili branilaca. Upotreba DES šifrovanja je značajan aspekt ove kampanje, jer dodaje još jedan sloj složenosti za one koji pokušavaju da analiziraju ili poremete rad zlonamjernog softvera.

Međutim, sigurnosni istraživači su uspeli da izdvoje i dešifruju ova podešavanja koristeći prilagođene skripte, otkrivajući infrastrukturu koju kontrolišu zlonamjerni akteri maskiranu iza legitimnih usluga elektronske pošte u oblaku. Ovo otkriće ističe važnost naprednih tehnika analize prijetnji u otkrivanju skrivenih C2 servera i ometanju zlonamjernih aktivnosti.

 

Odbrambeni mehanizam

Zanimljivo je da su mnoge rutine protiv analize Snake Keylogger zlonamjernog softvera dizajnirane za otkrivanje virtuelnih mašina, izolovanih okruženja (eng. sandboxes) i popularnih alata za otklanjanje grešaka prisutnih u kôdu, ali su ostale nezavršene. Ovo sugeriše da zlonamjerni akteri možda pokušavaju da smanje rizik od otkrivanja ili su prilagodili ove uzorke za ciljane napade na određena okruženja.

Uključivanje takvih odbrambenih mehanizama podrazumijeva nivo svijesti zlonamjernog aktera o uobičajenim bezbjednosnim praksama koje koriste sigurnosni istraživači i analitičari. Uključivanjem anti-analitičkih rutina, oni su u stanju da otežavaju braniocima analizu i razumijevanje ponašanja zlonamjernog kôda u realnom vremenu.

Iako ove nedovršene rutine možda nisu u potpunosti funkcionalne ili efikasne protiv naprednih alata za analizu, njihovo prisustvo ukazuje na nivo sofisticiranosti zlonamjernog aktera. Ovo ističe kontinuirano nadmudrivanje između zlonamjernih aktera i stručnjaka za bezbjednost, pri čemu svaka strana nastoji da nadmudri drugu kroz sve složenije taktike i tehnike.

 

UTICAJ

Snake Keylogger kao sajber prijetnja predstavlja zlonamjerni softver čije aktivnosti mogu imati dubok i dugoročan uticaj na pojedince, kompanije, pa čak i državne institucije. Njegova sposobnost da izbjegne tradicionalna bezbjednosna rješenja omogućava mu da ostane neotkriven tokom dužeg vremenskog perioda, što dovodi do ozbiljnih posljedica za one koji su kompromitovani.

Organizacije koje su pogođene ovom prijetnjom suočavaju se sa rastućim pritiskom regulatornih tijela i zainteresovanih strana da preduzmu odgovarajuće korake. Neuspjeh u zaštiti korisničkih podataka može rezultirati gubitkom javnog povjerenja, što direktno utiče na reputaciju, prihode i konkurentski položaj na tržištu.

Fokus Snake Keylogger kampanje na industrije visokog rizika, poput odbrane i vazduhoplovstva, izaziva zabrinutost u pogledu potencijalnog uticaja na nacionalnu bezbjednost. Zlonamjerni akteri koji uspiju da dođu do osjetljivih informacija predstavljaju ozbiljnu prijetnju po državne interese, što zahtijeva hitnu reakciju relevantnih institucija.

Upotreba legitimnih alata i sofisticiranih tehnika od strane zlonamjernih aktera dodatno otežava njihovo otkrivanje. Ove metode im omogućavaju da održe pristup kompromitovanim sistemima bez izazivanja sumnje, čime se naglašava potreba za unapređenjem sajber bezbjednosti i implementacijom naprednih mehanizama za otkrivanje u svim sektorima.

Konačno, posljedice djelovanja Snake Keylogger zlonamjernog softvera daleko prevazilaze tehnički aspekt. One podrazumijevaju psihološki, društveni i ekonomski uticaj, pa je ključno razumjeti da sajber prijetnje nisu isključivo tehnička pitanja — već i ljudska, koja zahtijevaju višestrani pristup, edukaciju i stalnu pripravnost.

 

ZAKLJUČAK

Kampanja zlonamjernog softvera Snake Keylogger predstavlja sofisticiranu phishing operaciju usmjerenu ka turskim organizacijama, sa posebnim fokusom na sektorima odbrane i vazduhoplovstva. Ovakav izbor meta ukazuje na ciljani pokušaj kompromitovanja osjetljivih podataka i kritične infrastrukture.

Snake Keylogger koristi višeslojno zamagljivanje i dinamičke metode učitavanja zlonamjernog kôda koje mu omogućavaju da aktivno izbjegava standardne mehanizme detekcije. Posebno se ističe činjenica da pokreće PowerShell komande koje eksplicitno dodaju zlonamjernu izvršnu datoteku na listu izuzetaka Windows Defender zaštitnog mehanizma, čime se dodatno smanjuje mogućnost otkrivanja i uklanjanja. Osim toga, koristi zakazane zadatke za automatsko pokretanje i održava prisutnost u kompromitovanom sistemu bez potrebe za dodatnim interakcijama korisnika.

Phishing poruke poslate putem elektronske pošte služe kao primarni kanal distribucije, vješto kreirane da izgledaju kao legitimna komunikacija. Ova kombinacija društvenog inženjeringa i tehničke zamagljenosti omogućava Snake Keylogger zlonamjernom softveru da efikasno ugrozi ciljani sistem.

Savremeni sajber napadi sve više podsjećaju na strategijsku igru u kojoj zlonamjerni akteri neprestano usavršavaju taktike, ciljajući organizacije sa značajnom odgovornošću i pristupom osjetljivim informacijama. U takvom okruženju, sposobnost pravovremenog identifikovanja prijetnji i jačanje sistemske otpornosti postaje ključni element bezbjednosti.

 

ZAŠTITA

  1. Kako bi se zaštitili od nove Snake Keylogger kampanje, neophodno je implementirati poboljšane mehanizme filtriranja elektronske pošte unutar organizacija. To se može postići upotrebom naprednih alata za otkrivanje prijetnji koji analiziraju elektronske poruke u potrazi za sumnjivim obrascima i anomalijama. Takvi sistemi bi takođe trebalo da uključuju funkcije poput analize reputacije pošiljaoca, skeniranja sadržaja i praćenja ponašanja;
  2. Istraživanja su pokazala da se Snake Keylogger oslanja na sistemske pozive za ubrizgavanje procesa, PowerShell za i Windows Defender listu izuzetaka i schtasks.exe za postojanost. Organizacije bi trebalo da prate ove sistemske pozive unutar svojih sistema kako bi otkrile potencijalne zlonamjerne aktivnosti;
  3. Da bi se suprotstavile taktici Snake Keylogger zlonamjernog softvera da izbjegne otkrivanje, organizacije moraju da implementiraju mehanizme praćenja tokom izvršavanja koji prate sumnjivo ponašanje na krajnjim tačkama. To se može postići pomoću naprednih alata za zaštitu od prijetnji i softvera za analizu ponašanja;
  4. Kampanja Snake Keylogger zlonamjernog softvera ističe potrebu za naprednim alatima za zaštitu od prijetnji koji mogu da otkriju i spriječe sofisticirane napade. Organizacije moraju da investiraju u ove tehnologije, koje često uključuju funkcije poput izolovanih okruženja, detekcije zasnovane na mašinskom učenju i analize ponašanja;
  5. Da bi se suprotstavile evoluirajućim taktikama krađe akreditiva u ciljanim sektorima, organizacije bi trebalo da implementiraju strategije dubinske odbrane koje kombinuju više slojeva bezbjednosnih kontrola kako bi se zaštitile od različitih vrsta prijetnji. Ovo uključuje filtriranje elektronske pošte, zaštitu krajnjih tačaka, segmentaciju mreže i mehanizme kontrole pristupa;
  6. Redovne bezbjednosne revizije su neophodne za identifikaciju ranjivosti u sistemima organizacije koje bi mogli da iskoriste zlonamjerni akter , uključujući i one koji koriste taktike slične kampanji Snake Keylogger zlonamjernog softvera. Ove procjene mogu pomoći organizacijama da daju prioritet naporima za sanaciju i ojačaju svoju ukupnu bezbjednosnu poziciju;
  7. Uspeh ovakvih phishing kampanja naglašava potrebu za budnom edukacijom korisnika u visokorizičnim poslovnim okruženjima. Organizacije bi trebalo da obezbijede redovne obuke kako bi edukovale korisnike o uobičajenim phishing taktikama, sumnjivim obrascima elektronske pošte i najboljim praksama za prijavljivanje potencijalnih prijetnji.

Date preporuke imaju za cilj da pruže sveobuhvatan okvir za zaštitu od prijetnji sličnih kampanji Snake Keylogger zlonamjernog softvera. Primjenom ovih mjera, organizacije mogu ojačati svoju odbranu od naprednih napada i smanjiti rizik od uspješnih ugrožavanja.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.