Вредонос искусно скрывается в системе, попутно отключая любые защитные механизмы.
В рамках недавней кампании по распространению вредоносного программного обеспечения AgentTesla, подробно рассмотренной специалистами SonicWall, злоумышленники использовали VBA-макросы в документах Word для проведения атаки методом бесфайловой инъекции, при которой вредоносная нагрузка загружается непосредственно в оперативную память компьютера.
Зловредная программа управляется с помощью механизма CLR hosting, который позволяет нативным процессам Windows выполнять .NET-код. Для этого используются динамически загружаемые библиотеки .NET, что и позволяет вредоносу функционировать, не оставляя файлов на диске.
Особенностью вредоноса является отключение системы Event Tracing for Windows (ETW) путём модификации API «EtwEventWrite». Затем скачивается и выполняется шелл-код, содержащий нагрузку AgentTesla, используя API «EnumSystemLocalesA».
Шелл-код использует хеширование для динамического определения API, таких как VirtualAlloc и VirtualFree, что позволяет избежать обнаружения. После этого он выделяет память и записывает раскодированную нагрузку AgentTesla для её выполнения.
Если какая-либо из требуемых DLL отсутствует, вредонос загружает её через функцию LoadLibraryA. Шелл-код также отключает сканирование AMSI, модифицируя функции «AmsiScanBuffer» и «AmsiScanString».
Для выполнения вредоносного .NET-кода вредонос использует CLR hosting, создавая экземпляр CLR runtime, после чего ищет подходящую версию .NET, загружает зловредный код в AppDomain и запускает его. После попадания вредоносного процесса в оперативную память, шелл-код уничтожает загруженные данные, предотвращая обнаружение.
Таким образом, хакеры находят всё более изощренные способы заражения систем с помощью вредоносного ПО, обходя традиционные методы обнаружения. Такие сложные техники взлома требуют постоянного совершенствования защитных механизмов на всех уровнях для обеспечения приемлемой кибербезопасности.
Приватность — это право, а не роскошь.
Подпишитесь на наш канал и защитите свои права
Зеркала сайта Kraken в даркнете предоставляют пользователям доступ к платформе анонимных покупок, когда основной адрес недоступен. Однако, как и с любым ресурсом в даркнете, важно быть осторожными, использовать проверенные ссылки и знать о возможных рисках. Обеспечение безопасности и анонимности — ключевые моменты при использовании таких платформ.
Как пользоваться зеркалом Kraken:
-
Установите Tor: Чтобы получить доступ к зеркалу, пользователям необходимо установить Tor-браузер, который обеспечивает анонимное соединение и защиту данных.
-
Используйте VPN: Рекомендуется использовать VPN для дополнительной безопасности, так как это помогает скрыть ваш реальный IP-адрес.
-
Ищите актуальные ссылки: Поскольку зеркала могут изменяться, важно искать проверенные и актуальные ссылки. Вы можете получить их из надежных источников или сообществ, которые обсуждают даркнет.
-
Проверка безопасности: Прежде чем вводить свои данные или совершать сделки, убедитесь, что вы находитесь на безопасном зеркале. Это можно сделать, проверив отзывы и репутацию сайта.
