Продвинутые методы обфускации вредоносного ПО кампании SLOW#TEMPEST

В конце 2024 года эксперты по кибербезопасности выявили новый вариант вредоносного ПО, связанного с кампанией SLOW#TEMPEST. Этот образец продемонстрировал использование сложных методов обфускации, значительно усложняющих обнаружение и анализ угроз. Особенности его конструкции свидетельствуют о росте квалификации злоумышленников и необходимости модернизации систем защиты.

Способы распространения и структура вредоносного ПО

Вредоносное ПО распространяется в формате ISO-файла, который обычно применяют для объединения нескольких компонентов с целью обхода первоначального обнаружения. В данном ISO-образе содержатся 11 файлов, среди которых выделяются два вредоносных:

• zlibwapi.dll — DLL-файл загрузчика, который расшифровывает и выполняет встроенную полезную нагрузку;
• ipc_core.dll — основной вредоносный модуль, содержащий фактическую полезную нагрузку, добавленную в конец файла.

Особенностью является использование боковой загрузки библиотеки DLL (DLL Side-Loading). Загрузчик запускается с помощью легитимного исполняемого файла с цифровой подписью DingTalk.exe. Такая архитектура разделения загрузчика и полезной нагрузки существенно усложняет обнаружение вредоносного кода, так как для его успешного выполнения должны присутствовать оба компонента.

Методы обфускации и сложности анализа

Вредоносная программа применяет продвинутые техники обфускации, в частности обфускацию графов потоков управления (Control Flow Graph, CFG), которая изменяет порядок выполнения инструкций. Это не только затрудняет статический анализ, но и снижает эффективность динамического анализа, затрудняя определение реальных действий кода.

Традиционные средства обнаружения, которые опираются на предсказуемый поток управления программы, становятся малоэффективными, поскольку злоумышленники активно вводят в заблуждение анализаторы, создавая ложные пути выполнения.

Кроме того, обнаружено использование косвенных вызовов функций, когда адреса функций вычисляются динамически во время выполнения. Это усложняет идентификацию фактических вредоносных операций при статическом анализе и требует более продвинутых подходов.

Рекомендации для специалистов по безопасности

Эволюция тактик вредоносных программ, продемонстрированная кампанией SLOW#TEMPEST, подчёркивает необходимость интеграции передовых методов анализа:

• Динамический анализ с использованием эмуляции для выявления реального поведения кода;
• Комплексное сочетание статического и динамического анализа для повышения точности обнаружения;
• Разработка более совершенных правил обнаружения, способных противостоять сложным методам обфускации.

«Сложность современных угроз требует глубокого понимания используемых методов обфускации, чтобы своевременно определить и нейтрализовать вредоносное ПО», — отмечают эксперты.

В целом, данный кейс ярко демонстрирует, как современные атаки становятся всё более изощрёнными, и требует от организаций постоянного совершенствования систем киберзащиты для обеспечения безопасности инфраструктуры.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.