PureLogs: модульный Windows-стиллер с AES-256 и антианализом

Источник: medium.com
Новый отчет описывает сложное вредоносное ПО под названием PureLogs — стиллер информации для Windows, обладающий продвинутыми возможностями по сбору и эксфильтрации конфиденциальных данных, а также широким набором тактик уклонения от обнаружения. По совокупности признаков это серьезная угроза, представляющая повышенную сложность для исследователей и автоматизированных средств защиты.
Краткое описание
PureLogs нацелен на сбор учетных данных, токенов сеанса и других конфиденциальных данных из популярных приложений, включая Discord, Telegram и Steam. Вредонос включает механизмы запутывания и антианализа, использует коммерческий .NET-упаковщик и применяет несколько техник предотвращения детектирования и реверс-инжиниринга.
Ключевые возможности
- Сбор учетных данных и токенов из локальных баз данных приложений (включая получение Discord-токенов).
- Параллельный сбор данных — многопоточная обработка для повышения скорости эксфильтрации.
- Сбор информации о системе: аппаратные и программные параметры, сетевые атрибуты и геолокация.
- Шифрование украденных данных перед отправкой.
- Самоуничтожение после выполнения для удаления следов активности.
Методы уклонения и защиты от анализа
PureLogs использует широкий набор техник для усложнения обнаружения и анализа:
- Запутывание и использование коммерческого .NET-упаковщика, затрудняющего статический анализ и реверс-инжиниринг.
- Встроенные механизмы антианализа и анти-отладки: распознавание отладчиков, проверка окружения и активное завершение при подозрении на анализ.
- Проверки на признаки запуска в изолированной среде (sandbox) и распознавание специфичных процессов.
- Использование API Windows для обхода отладчиков и предотвращения динамического анализа.
- Создание мьютекса для предотвращения одновременного запуска нескольких экземпляров в одной системе и снижения вероятности обнаружения.
Шифрование и эксфильтрация данных
Для защиты украденных данных PureLogs использует несколько криптографических механизмов:
- AES-256 в режиме CBC для шифрования пакетов данных.
- Генерация ключа с помощью PBKDF2, где в качестве итераций/усиления используется фиксированная соль и хэши SHA-512.
- Передача данных по пользовательским протоколам на серверы управления (C2) с жестко запрограммированными портами.
- Добавление уникального идентификатора к комплектам украденных данных для различения сборок before передачи.
В отчете также отмечается использование, по сути, «шифрования военного уровня» — формулировка, которая подчеркивает уровень защиты данных, но требует технической проверки контекста и реализации.
Поведение в системе и целевые приложения
- Цели: Discord, Telegram, Steam и другие популярные клиенты, где хранятся токены и учетные данные.
- Доступ к локальным базам данных и извлечение токенов сеанса (например, локальная база Discord).
- Разведка системы: сбор сведений об оборудовании, установленных приложениях, сетевых интерфейсах и геолокационных данных для оценки местоположения жертвы.
- Многопоточная архитектура для одновременной компрометации нескольких приложений.
- Возможность самоудаления после выполнения, уменьшающая следы активности на диске.
Почему это представляет повышенную угрозу
PureLogs сочетает в себе несколько факторов, затрудняющих защиту и исследование инцидентов:
- Модульная архитектура, позволяющая расширять функциональность и быстро адаптироваться к новым целям.
- Комбинация запутывания, .NET-упаковщика и антианалитических проверок усложняет как статический, так и динамический анализ.
- Продвинутое шифрование и использование PBKDF2/SHA-512 повышают устойчивость перехваченных данных к раскрытию.
- Жестко запрограммированные C2-порты и уникальные идентификаторы сборок затрудняют блокировку инфраструктуры на массовом уровне без анализа конкретной сборки.
Рекомендации по защите
Организациям и пользователям стоит принять следующие практические меры для уменьшения рисков:
- Обновлять ОС и приложения, особенно мессенджеры и игровые клиенты, до последних версий.
- Использовать современные EDR/AV-решения с поведенческим анализом и мониторингом подозрительных обращений к локальным базам данных приложений.
- Внедрить многофакторную аутентификацию (MFA) и регулярно менять учетные данные при подозрении на компрометацию.
- Контролировать исходящие соединения и блокировать подозрительные C2-порты и домены на уровне сети.
- Проводить регулярные проверки и инвентаризацию установленных приложений, а также мониторинг процессов и попыток создания мьютексов/самоуничтожения.
- При инциденте — изолировать зараженную систему, собрать артефакты для анализа и обновить признаки компрометации (IOCs) в инструментах защиты.
Вывод
PureLogs — это продвинутый стиллер с комплексным набором функций по сбору данных, надежными мерами уклонения и продвинутыми криптографическими механизмами. Его комбинация модульности, многопоточности и защитных техник делает его серьезной задачей для аналитиков и автоматизированных систем безопасности. Оперативная адаптация средств защиты и внимательный мониторинг поведения приложений остаются ключевыми мерами для противодействия такой угрозе.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



