PureLogs: модульный Windows-стиллер с AES-256 и антианализом

PureLogs: модульный Windows-стиллер с AES-256 и антианализом

Источник: medium.com

Новый отчет описывает сложное вредоносное ПО под названием PureLogs — стиллер информации для Windows, обладающий продвинутыми возможностями по сбору и эксфильтрации конфиденциальных данных, а также широким набором тактик уклонения от обнаружения. По совокупности признаков это серьезная угроза, представляющая повышенную сложность для исследователей и автоматизированных средств защиты.

Краткое описание

PureLogs нацелен на сбор учетных данных, токенов сеанса и других конфиденциальных данных из популярных приложений, включая Discord, Telegram и Steam. Вредонос включает механизмы запутывания и антианализа, использует коммерческий .NET-упаковщик и применяет несколько техник предотвращения детектирования и реверс-инжиниринга.

Ключевые возможности

  • Сбор учетных данных и токенов из локальных баз данных приложений (включая получение Discord-токенов).
  • Параллельный сбор данных — многопоточная обработка для повышения скорости эксфильтрации.
  • Сбор информации о системе: аппаратные и программные параметры, сетевые атрибуты и геолокация.
  • Шифрование украденных данных перед отправкой.
  • Самоуничтожение после выполнения для удаления следов активности.

Методы уклонения и защиты от анализа

PureLogs использует широкий набор техник для усложнения обнаружения и анализа:

  • Запутывание и использование коммерческого .NET-упаковщика, затрудняющего статический анализ и реверс-инжиниринг.
  • Встроенные механизмы антианализа и анти-отладки: распознавание отладчиков, проверка окружения и активное завершение при подозрении на анализ.
  • Проверки на признаки запуска в изолированной среде (sandbox) и распознавание специфичных процессов.
  • Использование API Windows для обхода отладчиков и предотвращения динамического анализа.
  • Создание мьютекса для предотвращения одновременного запуска нескольких экземпляров в одной системе и снижения вероятности обнаружения.

Шифрование и эксфильтрация данных

Для защиты украденных данных PureLogs использует несколько криптографических механизмов:

  • AES-256 в режиме CBC для шифрования пакетов данных.
  • Генерация ключа с помощью PBKDF2, где в качестве итераций/усиления используется фиксированная соль и хэши SHA-512.
  • Передача данных по пользовательским протоколам на серверы управления (C2) с жестко запрограммированными портами.
  • Добавление уникального идентификатора к комплектам украденных данных для различения сборок before передачи.

В отчете также отмечается использование, по сути, «шифрования военного уровня» — формулировка, которая подчеркивает уровень защиты данных, но требует технической проверки контекста и реализации.

Поведение в системе и целевые приложения

  • Цели: Discord, Telegram, Steam и другие популярные клиенты, где хранятся токены и учетные данные.
  • Доступ к локальным базам данных и извлечение токенов сеанса (например, локальная база Discord).
  • Разведка системы: сбор сведений об оборудовании, установленных приложениях, сетевых интерфейсах и геолокационных данных для оценки местоположения жертвы.
  • Многопоточная архитектура для одновременной компрометации нескольких приложений.
  • Возможность самоудаления после выполнения, уменьшающая следы активности на диске.

Почему это представляет повышенную угрозу

PureLogs сочетает в себе несколько факторов, затрудняющих защиту и исследование инцидентов:

  • Модульная архитектура, позволяющая расширять функциональность и быстро адаптироваться к новым целям.
  • Комбинация запутывания, .NET-упаковщика и антианалитических проверок усложняет как статический, так и динамический анализ.
  • Продвинутое шифрование и использование PBKDF2/SHA-512 повышают устойчивость перехваченных данных к раскрытию.
  • Жестко запрограммированные C2-порты и уникальные идентификаторы сборок затрудняют блокировку инфраструктуры на массовом уровне без анализа конкретной сборки.

Рекомендации по защите

Организациям и пользователям стоит принять следующие практические меры для уменьшения рисков:

  • Обновлять ОС и приложения, особенно мессенджеры и игровые клиенты, до последних версий.
  • Использовать современные EDR/AV-решения с поведенческим анализом и мониторингом подозрительных обращений к локальным базам данных приложений.
  • Внедрить многофакторную аутентификацию (MFA) и регулярно менять учетные данные при подозрении на компрометацию.
  • Контролировать исходящие соединения и блокировать подозрительные C2-порты и домены на уровне сети.
  • Проводить регулярные проверки и инвентаризацию установленных приложений, а также мониторинг процессов и попыток создания мьютексов/самоуничтожения.
  • При инциденте — изолировать зараженную систему, собрать артефакты для анализа и обновить признаки компрометации (IOCs) в инструментах защиты.

Вывод

PureLogs — это продвинутый стиллер с комплексным набором функций по сбору данных, надежными мерами уклонения и продвинутыми криптографическими механизмами. Его комбинация модульности, многопоточности и защитных техник делает его серьезной задачей для аналитиков и автоматизированных систем безопасности. Оперативная адаптация средств защиты и внимательный мониторинг поведения приложений остаются ключевыми мерами для противодействия такой угрозе.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: