WARMCOOKIE (BadSpace): эволюция бэкдора, новые C2‑обработчики и обходы

Источник: www.picussecurity.com
WARMCOOKIE, также известный как BadSpace, продолжает активно развиваться: за год вредоносное ПО превратилось из заметного бэкдора в более гибкий и труднообнаруживаемый инструмент. Новый раунд модификаций добавил обработчики выполнения, динамические механизмы закрепления и маркеры кампаний, что переводит борьбу с этим семейством в плоскость поведенческой аналитики.
Что изменилось: ключевые возможности
- Гибкие обработчики выполнения: поддержка запуска EXE, DLL и сценариев PowerShell, что расширяет способы доставки и исполнения полезной нагрузки.
- Рандомизированное закрепление имен: имена для persistence генерируются из bank of strings (динамической «банки строк») с названиями легитимных компаний, чтобы замаскировать присутствие.
- Double-GUID mutex: двойной подход к mutex (использование двух GUID) для улучшения синхронизации и контроля инициализации процессов.
- Встраивание маркеров кампаний в ключи RC4 — с июля 2024 это помогает связывать образцы с конкретными кампаниями распространения.
- Оптимизация кода: улучшена читаемость и производительность сборок, что затрудняет статический анализ и ускоряет работу вредоноса.
Методы обхода обнаружения
WARMCOOKIE переходит от статических сигнатур к техникам, которые снижают подозрительность своего поведения:
- Динамический выбор путей и мест размещения: «bank of strings» выбирает пути к папкам и имена запланированных задач, отдавая приоритет менее подозрительным локациям вместо фиксированных путей вроде
C:ProgramDataRtlUpd. - Изменённые параметры командной строки: параметр создания запланированных задач изменён с
/pна/u, что нарушает некоторые существующие правила обнаружения. - Двойные mutex: повторное использование и комбинация mutex/ GUID повышают устойчивость при старте и усложняют корреляцию между запуском и сессиями.
- Временное извлечение полезной нагрузки: временное хранение и быстрый запуск payload усложняют традиционный поиск по файловой системе.
«Обнаружение WARMCOOKIE теперь больше полагается на поведенческий анализ, а не на статические сигнатуры».
Развитие возможностей C2
Серверная составляющая WARMCOOKIE также эволюционирует: введены четыре новых обработчика команд, которые дают операторам гибкость при выполнении различных типов файлов и расширяют спектр действий на заражённых хостах.
Кроме того, исследователи выявили повторяющееся использование одного и того же SSL-сертификата на разных серверах C2 — это даёт дополнительный индикатор для корреляции инфраструктуры и отслеживания операторов.
Аналитика и связывание кампаний
Включение идентификатора кампании в образцы и группировка по ключам RC4 позволяют аналитикам:
- сопоставлять сборки с тематикой и каналами распространения;
- выделять наборы компрометации, связанные с одними и теми же операторами;
- отслеживать эволюцию инструментов и тактик внутри сети операторов WARMCOOKIE.
Рекомендации для аналитиков и специалистов по безопасности
- Сконцентрироваться на поведенческих индикаторах: мониторинг необычных запусков
rundll32и PowerShell, временных распаковок payload и повторного использования mutex. - Отслеживать создание запланированных задач, особенно с нетипичными параметрами (
/u), и анализировать имена задач, сгенерированные по bank of strings. - Группировать образцы по ключам RC4 и сверять с включёнными маркерами кампаний для выявления связей между инцидентами.
- Идентифицировать и каталогизировать SSL-сертификаты серверов C2 (фингерпринты) как дополнительный признак инфраструктуры.
- Усилить детекцию на основе поведения процессов и межсессионной корреляции вместо простого сопоставления хэшей.
Вывод
WARMCOOKIE/BadSpace демонстрирует направление развития современных бэкдоров: смещение акцента в сторону гибкости исполнения, динамического маскирования и встроенной маркировки кампаний. Это делает традиционные сигнатурные подходы недостаточными — для эффективной защиты необходимы поведенческий мониторинг, корреляция по инфраструктурным артефактам (RC4-ключи, SSL-сертификаты) и особое внимание к нетипичным параметрам запуска и повторяемым mutex.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



