Quer apoiar meu projeto de divulgação de noticias? E ainda divulgar suas redes sociais
Agora é possivel Veja a noticia completa em: https://www.bleepingcomputer.com/news/security/hackers-start-using-double-dll-sideloading-to-evade-detection/
Fonte: https://www.bleepingcomputer.com
Achou esse artigo interessante? Siga canalfsociety em
Instagram,
Facebook,
Telegram,
Twitter,
App Boletim Tec e
App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos. #samirnews #samir #news #boletimtec #os #hackers #começam #a #usar #o #carregamento #lateral #de #dll #dupla #para #evitar #a #detecção
Um grupo de hackers APT conhecido como "Dragon Breath", "Golden Eye Dog" ou "APT-Q-27" está demonstrando uma nova tendência de usar várias variações complexas da clássica técnica de carregamento lateral de DLL para evitar a detecção.
Essas variações de ataque começam com um vetor inicial que utiliza um aplicativo limpo, na maioria das vezes o Telegram, que carrega uma carga útil de segundo estágio, às vezes também limpa, que, por sua vez, carrega uma DLL de carregador de malware malicioso.
A atração para as vítimas são os aplicativos trojanizados Telegram, LetsVPN ou WhatsApp para Android, iOS ou Windows que foram supostamente localizados para pessoas na China. Acredita-se que os aplicativos trojanizados sejam promovidos usando BlackSEO ou malvertizing.
De acordo com os analistas da Sophos que acompanharam os ataques recentes do agente da ameaça, o escopo de segmentação desta campanha é focado em usuários do Windows que falam chinês na China, Japão, Taiwan, Cingapura, Hong Kong e Filipinas.
Diagrama geral de ataque (Sophos)
Sideload de DLL dupla
O sideloading de DLL é uma técnica explorada por invasores desde 2010, aproveitando a maneira insegura como o Windows carrega arquivos DLL (Dynamic Link Library) exigidos por um aplicativo.
O invasor coloca uma DLL maliciosa com o mesmo nome da DLL necessária e legítima no diretório de um aplicativo. Quando o usuário inicia o executável, o Windows prioriza a DLL maliciosa local sobre aquela nas pastas do sistema.
A DLL do invasor contém código mal-intencionado que é carregado nesse estágio, concedendo privilégios ao invasor ou executando comandos no host, explorando o aplicativo assinado e confiável que o está carregando.
Nessa campanha, as vítimas executam o instalador dos aplicativos mencionados, que instala componentes no sistema e cria um atalho na área de trabalho e uma entrada de inicialização do sistema.
Se a vítima tentar iniciar o atalho recém-criado na área de trabalho, que é a primeira etapa esperada, em vez de iniciar o aplicativo, o seguinte comando será executado no sistema.
Comando executado no sistema violado (Sophos)
O comando executa uma versão renomeada de 'regsvr32.exe' ('appR.exe') para executar uma versão renomeada de 'scrobj.dll' ('appR.dll') e fornece um arquivo DAT ('appR.dat') como entrada para ele. O DAT contém código JavaScript para execução pela biblioteca do mecanismo de execução de script ('appR.dll').
O código JavaScript inicia a interface do usuário do aplicativo Telegram em primeiro plano enquanto instala vários componentes de sideload em segundo plano.
Em seguida, o instalador carrega um aplicativo de segundo estágio usando uma dependência limpa ('libexpat.dll') para carregar um segundo aplicativo limpo como um estágio de ataque intermediário.
Em uma variação do ataque, o aplicativo limpo "XLGame.exe" é renomeado para "Application.exe" e o carregador de segundo estágio também é um executável limpo, assinado pela Beijing Baidu Netcom Science and Technology Co., Ltd.
Primeiro diagrama variante de ataque (Sophos)
Em outra variação, o carregador limpo de segundo estágio é "KingdomTwoCrowns.exe", que não é assinado digitalmente, e a Sophos não conseguiu determinar qual vantagem ele oferece além de ofuscar a cadeia de execução.
Em uma terceira variação do ataque, o carregador de segundo estágio é o executável limpo "d3dim9.exe", assinado digitalmente pela HP Inc.
Executável assinado pela HP (Sophos)
Essa técnica de "carregamento lateral de DLL duplo" alcança evasão, ofuscação e persistência, tornando mais difícil para os defensores se ajustarem a padrões de ataque específicos e protegerem suas redes de maneira eficaz.
A carga final
Em todas as variações de ataque observadas, a DLL de carga útil final é descriptografada de um arquivo txt ('templateX.txt') e executada no sistema.
Essa carga útil é um backdoor que oferece suporte a vários comandos, como reinicialização do sistema, modificação de chave de registro, busca de arquivos, roubo de conteúdo da área de transferência, execução de comandos em uma janela CMD oculta e muito mais.
O backdoor também tem como alvo a extensão Chrome da carteira de criptomoedas MetaMask, com o objetivo de roubar ativos digitais das vítimas.
Em resumo, o sideload de DLL continua sendo um método de ataque eficaz para hackers e que a Microsoft e os desenvolvedores falharam em abordar por mais de uma década.
No último ataque APT-Q-27, os analistas observaram variações de sideloading de DLL que são difíceis de rastrear; portanto, eles alcançam uma cadeia de infecção mais furtiva.
Postar um comentário