Havoc: C2-фреймворк с продвинутым уклонением от EDR

Вредоносное ПО Havoc превратилось в сложный C2-framework, который активно использует набор скрытых возможностей для обхода средств защиты. По данным отчета, особое внимание разработчики и операторы Havoc уделяют уклонению от обнаружения, прежде всего со стороны решений EDR, что делает этот инструмент опасным как в легитимных, так и в злонамеренных кампаниях.

Что представляет собой Havoc

Havoc — это не просто вредоносное ПО, а многофункциональный управляющий framework, ориентированный на скрытность и устойчивость в зараженной среде. Среди наиболее заметных техник, которые используются в этом ПО, выделяются:

• obfuscation of sleep;
• spoofing return address в stack;
• indirect system calls.

Именно эти механизмы позволяют Havoc работать без немедленного обнаружения и усложняют анализ его поведения.

Как происходит заражение

Цикл заражения начинается со script, который загружает и запускает вредоносный binary file, упакованный в MSI-package. Такой подход помогает скрыть начальную фазу атаки и облегчает доставку payload на целевую систему.

После запуска Havoc переходит к проверке окружения. В первую очередь вредоносное ПО ищет признаки virtual environments, включая технологии:

• QEMU;
• VMware;
• VirtualBox;
• Hyper-V.

Подобные проверки широко применяются для того, чтобы не исполняться в virtualized environments, где анализ поведения malware обычно проводится особенно тщательно.

Закрепление и сетевое поведение

Для закрепления в системе Havoc изменяет system registry, создавая runtime key в HKEY_CURRENT_USER Environment UserInitMprLogonScript. Кроме того, оно создает mutex в Sessions 1 BaseNamedObjects Global {7f3a9c2e-4b1d-8e5f-a6d0-3c9b2e1f7a4d}, что помогает предотвратить одновременный запуск нескольких экземпляров ВПО.

Отдельного внимания заслуживает сетевой компонент активности. ВПО выполняет DNS TXT request к определенному local domain и еще один запрос к DNS server Cloudflare — 1.0.0.1. Это может указывать на попытку обеспечить связь с инфраструктурой C2.

Anti-debugging и контроль среды

В части anti-debugging Havoc применяет несколько техник, рассчитанных на выявление анализа и вмешательства со стороны исследователей. В частности, используются проверки наличия debugger с помощью функций:

• DebugPort;
• GetProcessHeap;
• GetProcedureAddress;
• IsDebuggerPresent.

Эти функции позволяют ВПО обнаруживать debug environment и вызывать сбой либо некорректную работу при наличии отладочных hooks. Таким образом malware защищает собственную operational integrity.

Дополнительно Havoc собирает сведения о запущенных process через ToolHelp32Snapshot и постоянно отслеживает отдельные registry keys, чтобы сохранять функциональность и доступ во время работы.

Реакция специалистов

Лаборатории SonicWall Capture выявили signatures, предназначенные для защиты от данного ВПО. Это усиливает defensive measures против агрессивных и многогранных vectors attack, которые использует Havoc.

Таким образом, Havoc остается примером того, как современное C2-ВПО сочетает скрытность, устойчивость и развитые антианалитические механизмы, создавая серьезные риски для корпоративной и исследовательской среды.