Рост DGA-атак и новые методы обхода киберзащиты в 2024 году
Компания Rapid7 сообщила о значительном увеличении числа инцидентов, связанных с доменами, созданными с помощью алгоритмов генерации доменов (Domain Generation Algorithms, DGA). Такие домены часто применяются разработчиками вредоносного ПО для массового создания адресов, используемых при подключении к серверам управления и контроля (C2). В новом исследовании специалисты Rapid7 выявили особенности атак и методы, позволяющие злоумышленникам обходить традиционные средства защиты.
Характеристики DGA-доменов и тактика социальной инженерии
Анализ показывает, что большинство изученных доменов обладает следующими свойствами:
- фиксированная длина в 24 буквенно-цифровых символа;
- использование доменов верхнего уровня
.info; - явное соответствие алгоритмам генерации доменов, применяемым вредоносным ПО.
Начальная фаза атаки базируется на использовании социальной инженерии, известной как ClickFix. Пользователю предлагается нажать на кнопку подтверждения, чтобы «доказать, что он человек». Это действие запускает обфусцированный PowerShell-скрипт. Несмотря на относительно простую обфускацию, данный скрипт способен обходить некоторые средства защиты от вредоносных программ.
Механика вредоносного скрипта и действия после заражения
Запущенный скрипт выполняет несколько ключевых функций для обеспечения устойчивости и возможности дальнейших атак:
- отключает Защитник Windows, добавляя исключение для каталога
C:WindowsTemp; - создает вредоносный интернет-ярлык, указывающий на вредоносный
.bat-файл для сохраняемости; - загружает дополнительные PowerShell-модули с удаленных ресурсов.
Дальнейшее изучение полезной нагрузки выявило, что двоичный файл Stub.exe использует метод прерывания процесса (process hollowing) для внедрения вредоносного кода в приостановленный процесс MSBuild.exe. Вредоносное ПО создает собственный каталог в папке %Temp%, где размещаются необходимые для функционирования файлы.
Функциональные возможности вредоносного ПО
Чтобы избежать ситуаций с несколькими параллельными запусками, вредоносное ПО проверяет, что в системе работает только один экземпляр. После установления соединения с сервером C2 по TCP-порту 4000 оно:
- собирает системную информацию: имена компьютеров и пользователей, сведения о процессоре и памяти;
- определяет установленные антивирусные продукты;
- выявляет наличие конкретных финансовых приложений и программ, связанных с криптовалютой;
- передает собранные данные в открытом виде на сервер.
Дальнейшее управление осуществляется через команды, отправляемые с сервера C2. Вредоносное ПО способно:
- выполнять локальные файлы;
- передавать файлы;
- делать скриншоты;
- извлекать данные криптовалютных кошельков.
Важность усиления мер кибербезопасности
Несмотря на использование относительно простых и устаревших методов — таких как process hollowing и передача данных в открытом тексте — злоумышленники смогли обойти часть средств защиты. Как отмечают эксперты Rapid7, данный инцидент иллюстрирует, что даже базовые техники могут быть успешными при недостаточной внимательности к обеспечению безопасности.
«Это подчёркивает необходимость постоянного обновления и совершенствования средств защиты и учебных программ по повышению осведомлённости пользователей», — комментируют специалисты.
Таким образом, организациям важно воспринимать защиту не только как набор технических средств, но и как комплексный процесс, включающий обучение сотрудников и мониторинг подозрительной активности.
Источник: Rapid7 Cybersecurity Report
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
