Хакеры научились прятать вредоносный код в журнале событий Windows

Эксперты «Лаборатории Касперского» обнаружили и предупредили общественность о необычной вредоносной кампании. Как отмечают в лаборатории, такая кампания была обнаружена впервые. В ней для хранения вредоносного ПО используются журналы событий Windows. Более того, атакующие применяют широкий спектр техник, включая SilentBreak и CobaltStrike, легальные инструменты для тестирования на проникновение. Также в цепочку заражения входит целый набор вспомогательных модулей, написанных в том числе на Go. Они используются, чтобы затруднить обнаружение троянов последней ступени.

^[1]

Ранее эксперты компании не встречали технику скрытия вредоносного кода внутри журналов событий Windows. За первичное заражение системы отвечает модуль из архива, скачиваемого жертвой. Некоторые файлы для повышения доверия к ним подписаны цифровым сертификатом. Заканчивается эта цепочка сразу несколькими троянами для удалённого управления заражёнными устройствами. Они отличаются и способом передачи команд (HTTP или именованные каналы), и даже их набором. У некоторых версий троянов таких команд десятки.

Денис Легезо, ведущий эксперт по кибербезопасности «Лаборатории Касперского», отметил:

Помимо использования сразу двух коммерческих инструментов и большого количества модулей нас очень заинтересовал факт хранения зашифрованного шелл-кода в журнале событий Windows. Такую технику скрытия присутствия зловреда в системе можно было бы добавить в матрицу MITRE.

Источник ^[2]