ArmouryLoader: новый уровень угроз и методы обхода безопасности

Антиан CERT раскрыл новые подробности о сложном загрузчике ArmouryLoader
Специалисты Antian CERT представили актуальный обзор угроз, связанных с вредоносными программами, уделив особое внимание новой угрозе — ArmouryLoader. Этот загрузчик выделяется своей многофункциональностью не только в плане развертывания различных видов вредоносных нагрузок, но и в способности обходить современные меры обнаружения и системы безопасности.
Происхождение и структура ArmouryLoader
ArmouryLoader был первоначально разработан в 2024 году и получил своё название благодаря использованию экспортных функций системы управления Asus Armoury Crate. Загрузчик состоит из восьми взаимозависимых этапов, каждый из которых отвечает за выполнение отдельных задач:
- 1-й, 3-й, 5-й и 7-й этапы — выполнение вредоносных действий;
- Промежуточные этапы — загрузка и подготовка полезной нагрузки.
Важной особенностью является использование технологии OpenCL для расшифровки вредоносной полезной нагрузки. Для выполнения этого этапа требуется специфическое оборудование — графический процессор или 32-разрядный центральный процессор. Такой подход снижает вероятность обнаружения, особенно в изолированных окружениях.
Методы обфускации и скрытности
ArmouryLoader использует передовые методы защиты кода, включая:
- внедрение лишних инструкций;
- самоподшифровывающийся код;
- собственную технологию «Gate of Heaven» для выполнения 64-разрядного кода, обходящую стандартные перехватчики функций.
Это значительно усложняет статический анализ и затрудняет выявление загрузчика антивирусными системами.
Кроме того, загрузчик применяет продвинутые тактики поддержания постоянства работы, например:
- создание запланированных задач;
- изменение атрибутов файлов для предотвращения несанкционированных изменений и удаления.
Маскировка и управление памятью
Для скрытия своих операций ArmouryLoader эффективно управляет памятью, используя легальные библиотеки DLL. При этом он подделывает стек вызовов, что значительно снижает вероятность обнаружения решениями endpoint security.
При доставке вредоносных полезных нагрузок, таких как SmokeLoader и CoffeeLoader, загрузчик перехватывает ключевые процессы и внедряет шеллкод, улучшая тем самым методы обфускации и стабильности выполнения своих операций.
Ответ индустрии безопасности и мониторинг
В ответ на рост технической сложности ArmouryLoader современные решения для кибербезопасности, включая Antian Zhijia, активно занимаются его обнаружением и нейтрализацией. Эти инструменты применяют:
- мониторинг активности в режиме реального времени;
- автоматическое обнаружение подозрительного взаимодействия с файлами;
- анализ поведения для предотвращения распространения заражений.
Распространение ArmouryLoader происходит через различные каналы, в том числе вложения электронной почты и загруженные файлы, что требует особого внимания к мерам защиты и повышению осведомлённости пользователей.
ArmouryLoader демонстрирует уровень эволюции современных вредоносных загрузчиков, требующий от специалистов по кибербезопасности использования комплексных, многоуровневых подходов для его выявления и нейтрализации.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



