Duch Malware, czyli bezplikowe złośliwe oprogramowanie

Duch Malware, czyli bezplikowe złośliwe oprogramowanie

Panda Adaptive Defense 360 zero-trust, firmy WatchGuard Threat Lab, zatrzymała i zidentyfikowała program ładujący bezplikowe oprogramowanie.

Panda Adaptive Defense 360 zero-trust, firmy WatchGuard Threat Lab, zatrzymała i zidentyfikowała program ładujący bezplikowe oprogramowanie przed uruchomieniem go na komputerze ofiary. Dzięki szczegółowo przeprowadzonej analizie wykryto kilka ostatnich luk w zabezpieczeniach przeglądarek. Okazuje się, że złośliwe oprogramowanie atakowało exploity.

Zachowanie Malware. Uwaga! Pamięć operacyjna

Analizy WatchGuard Threat Lab dowiodły, że malware ukrywał się wewnątrz pamięci wykorzystując JavaScript [T1059.007 ]PowerShell [T1059.001].

Zaawansowane ataki takie jak ten, nie pozostawiały na dysku ofiary artefaktów a co najgorsze z łatwością omijały zabezpieczenia. Atak rozpoczął się od włamania drive-by [T1189], gdzie wykorzystano JavaScript osadzony w zainfekowanej witrynie. Ze względu na to, że przeglądarki automatycznie uruchamiają JavaScript, atak nie wymagał żadnej interakcji użytkownika poza odwiedzeniem strony. Sama witryna była hostowana na domenie stworzonej w celu przeprowadzenia cyber ataku.

W chwili, gdy ofiara trafia na stronę, JavaScript tworzy zakodowany skrypt PowerShell, który wykorzystuje moduł ReflectivePEInjection z popularnej struktury Powersploit [S0194].

Następnie moduł/segment ładuje pliki wykonywalne oraz biblioteki do uruchomionego procesu [T1055.002] na komputerze ofiary. Nie pozostawia przy tym śladów w rejestrze, ukrywa złośliwe oprogramowanie przed narzędziami zabezpieczającymi. Skrypt programu PowerShell zawierał trzy zakodowane pliki binarne Portable Executable. Każdy z nich wykorzystywał inną lukę do rozszerzenia uprawnień aby móc więcej zainfekować.

CVE-2020-1054

Usterka związana z uszkodzeniem pamięci w sterowniku jądra Windowsa. System obsługuje bitmapy, które umożliwiają rozszerzenie uprawnień [TA0004] do poziomu SYSTEM. Uruchomienie luki przez atakującego powoduje utworzenie obrazu bitmapowego zmieniając jego piksele (poza pamięcią). Umożliwia to wykorzystanie zapisu w pamięci modułu sterownika i utworzenie szelkodu z uprawnieniami na poziomie SYSTEMU.

malware

źródło obrazka: Secplicity

CVE-2019-1458

To podobna luka w zabezpieczeniach uprawnień sterownika Win32k Windows. Powyższy exploit wykorzystuje wywołanie nieudokumentowanego interfejsu API NtUserMessageCall i symuluje naciśnięcie klawiszy, aby spowodować uszkodzenie w funkcji przełączania okien. Oprogramowanie kopiuje publiczne dostępy do wykorzystania w swoim skrypcie.

CVE-2019-0808

Jest kolejną luką, która umożliwia rozszerzenie uprawnień w sterowniku Win32K Windows. Powyższy exploit próbuje zainstalować plik z odpowiednimi uprawnieniami. Podczas analizy wykryto, że CVE-2019-5786 jest używany w tandemie z exploitem do rozszerzenia uprawnień. CVE-2019-5786 jest luką umożliwiającą wyjście z ‘piaskownicy’ w przeglądarce Chrome, dzięki czemu atakujący ma możliwość ingerować w inne działające aktualnie procesy na komputerze ofiary. Starsze wersje przeglądarki Chrome mogą być zatem podatne na ataki. Należy tutaj pamiętać o aktualizacji oprogramowania.

 CVE-2019-0808

źródło obrazka: Secplicity

Zapobieganie malware, czyli korzystanie z narzędzi i wiedzy

Jeśli któryś z exploitów przejmie kontrolę cyberprzestępca uzyska wgląd do komputera ofiary. Atakujący będzie miał możliwość pobierania innych złośliwych oprogramowań (botnety, trojany), zdobędzie także dostęp zdalny. Aby wykryć podobne ataki należy przestrzegać zaleceń.

1. Wdrożenie silnego EDR

Oprogramowanie Endpoint Detection and Reponse aktywnie monitoruje zachowanie procesów w czasie rzeczywistym. Pozwala na identyfikację podejrzanych ruchów oraz kontrolę bezpieczeństwa. Zalecamy: używaj EDR w połączeniu z EPP (Endpoint Protection). EPP analizuje pliki, obserwuje procesy i zapewnia 100% atestacji przed złośliwym oprogramowaniem.

2. Narzędzia ochrony, czyli kontrola nad złośliwym oprogramowaniem

Pojedynczy mechanizm ochrony nie może zablokować wszystkich ataków. Oprócz EDR warto połączyć swoje zabezpieczenia z innymi usługami np. zaporą ogniową DNS, IPS (są one w stanie wykryć i zablokować połączenia botnetów). Warto jeszcze wspomnieć o C&C. Ten mechanizm kontrolny stanowi silną obronę w przypadku zainfekowania systemu, skutecznie ogranicza rozprzestrzenianie niepożądanego oprogramowania.

Wskaźniki kompromisu:

Domeny:

a) Judgementinvincible[.]com b) Speedjudgementacceleration[.]com

Pliki MD5s

a) B338E9E5EFA8AEDBDA533EEFF01871FF b) 694398D10C925A92DC51932D412F9514 c) 7B40AA57E1C61ECD6DB2A1C18E08B0AF

Oceń blog:
Czas czytania: 6 min
Data: 04.11.2020

Terminarz

prev

next

Lista najbliższych webinariów

03.09.2026
09:00 Warsztaty Hardening Windows – LAPS, Restricted Groups, Compliance Toolkit (1 dzień)
Warsztaty Hardening Windows – LAPS, Restricted Groups, Compliance Toolkit (1 dzień)
08.09.2026
09:00 Szkolenie Ansible z Windows i Active Directory
Szkolenie Ansible z Windows i Active Directory
10.09.2026
09:00 Szkolenie Ansible – automatyzacja infrastruktury IT bez agentów (2 dni)
Szkolenie Ansible – automatyzacja infrastruktury IT bez agentów (2 dni)
22.09.2026
09:00 Hardening Windows i Active Directory – Tiering, PAW, Jump Servers (warsztaty 1 dzień)
Hardening Windows i Active Directory – Tiering, PAW, Jump Servers (warsztaty 1 dzień)
22.09.2026
10:00 Szkolenie: cyberbezpieczeństwo dla pracowników biurowych
Szkolenie: cyberbezpieczeństwo dla pracowników biurowych
newsletter
Chcesz wiedzieć więcej? Zapisz się na Newsletter i otrzymuj najnowsze informacje

Zobacz inne wpisy

Wiedza i świadomość na temat aktualnych cyberzagrożeń to podstawa dobrej taktyki bezpieczeństwa. Chcesz być na bieżąco z wydarzeniami ze świata cybersecurity? A może szukasz wskazówek jak zapewnić wyższy poziom cyberbezpieczeństwa w swojej firmie? Chcesz poznać topowe rozwiązania? Dobrze trafiłeś.

zobacz wszystkie wpisy
Moduły CrowdStrike Falcon - jak rozbudowywać ochronę firmy Endpoint Detection and Response (EDR)
PromptLock - pierwszy ransomware wykorzystujący AI do pisania kodu Endpoint Detection and Response (EDR)
Agenci AI i bezpieczeństwo tożsamości – kto naprawdę działa w systemie? Autoryzacja i Zarządzanie Tożsamością
Ochrona endpointów i XDR – ataki, które nie wyglądają jak wirusy Extended Detection and Response (XDR)
Masz 29 minut. Jak szybko haker może przejąć firmę Endpoint Detection and Response (EDR)
CrowdStrike Falcon Enterprise VELOCITY

CrowdStrike Falcon Enterprise VELOCITY

Velocity Falcon Enterprise to gotowy pakiet bezpieczeństwa oparty na technologii Falcon Enterprise, rozszerzający ochronę endpointów o EDR/XDR i threat hunting.

Wycena indywidualna
Zobacz więcej
CrowdStrike Falcon Go VELOCITY

CrowdStrike Falcon Go VELOCITY

Velocity Falcon Go to gotowy pakiet ochrony endpointów oparty na NGAV, rozszerzony o kontrolę urządzeń i uproszczone zarządzanie w modelu cloud.

Wycena indywidualna
Zobacz więcej
CrowdStrike Falcon COMPLETE

CrowdStrike Falcon COMPLETE

Falcon Complete to w pełni zarządzana usługa MDR, w której CrowdStrike odpowiada za wykrywanie, analizę i reakcję na incydenty bezpieczeństwa.

Wycena indywidualna
Zobacz więcej