WARMCOOKIE (BadSpace): эволюция бэкдора, новые C2‑обработчики и обходы

WARMCOOKIE (BadSpace): эволюция бэкдора, новые C2обработчики и обходы

Источник: www.picussecurity.com

WARMCOOKIE, также известный как BadSpace, продолжает активно развиваться: за год вредоносное ПО превратилось из заметного бэкдора в более гибкий и труднообнаруживаемый инструмент. Новый раунд модификаций добавил обработчики выполнения, динамические механизмы закрепления и маркеры кампаний, что переводит борьбу с этим семейством в плоскость поведенческой аналитики.

Что изменилось: ключевые возможности

  • Гибкие обработчики выполнения: поддержка запуска EXE, DLL и сценариев PowerShell, что расширяет способы доставки и исполнения полезной нагрузки.
  • Рандомизированное закрепление имен: имена для persistence генерируются из bank of strings (динамической «банки строк») с названиями легитимных компаний, чтобы замаскировать присутствие.
  • Double-GUID mutex: двойной подход к mutex (использование двух GUID) для улучшения синхронизации и контроля инициализации процессов.
  • Встраивание маркеров кампаний в ключи RC4 — с июля 2024 это помогает связывать образцы с конкретными кампаниями распространения.
  • Оптимизация кода: улучшена читаемость и производительность сборок, что затрудняет статический анализ и ускоряет работу вредоноса.

Методы обхода обнаружения

WARMCOOKIE переходит от статических сигнатур к техникам, которые снижают подозрительность своего поведения:

  • Динамический выбор путей и мест размещения: «bank of strings» выбирает пути к папкам и имена запланированных задач, отдавая приоритет менее подозрительным локациям вместо фиксированных путей вроде C:ProgramDataRtlUpd.
  • Изменённые параметры командной строки: параметр создания запланированных задач изменён с /p на /u, что нарушает некоторые существующие правила обнаружения.
  • Двойные mutex: повторное использование и комбинация mutex/ GUID повышают устойчивость при старте и усложняют корреляцию между запуском и сессиями.
  • Временное извлечение полезной нагрузки: временное хранение и быстрый запуск payload усложняют традиционный поиск по файловой системе.

«Обнаружение WARMCOOKIE теперь больше полагается на поведенческий анализ, а не на статические сигнатуры».

Развитие возможностей C2

Серверная составляющая WARMCOOKIE также эволюционирует: введены четыре новых обработчика команд, которые дают операторам гибкость при выполнении различных типов файлов и расширяют спектр действий на заражённых хостах.

Кроме того, исследователи выявили повторяющееся использование одного и того же SSL-сертификата на разных серверах C2 — это даёт дополнительный индикатор для корреляции инфраструктуры и отслеживания операторов.

Аналитика и связывание кампаний

Включение идентификатора кампании в образцы и группировка по ключам RC4 позволяют аналитикам:

  • сопоставлять сборки с тематикой и каналами распространения;
  • выделять наборы компрометации, связанные с одними и теми же операторами;
  • отслеживать эволюцию инструментов и тактик внутри сети операторов WARMCOOKIE.

Рекомендации для аналитиков и специалистов по безопасности

  • Сконцентрироваться на поведенческих индикаторах: мониторинг необычных запусков rundll32 и PowerShell, временных распаковок payload и повторного использования mutex.
  • Отслеживать создание запланированных задач, особенно с нетипичными параметрами (/u), и анализировать имена задач, сгенерированные по bank of strings.
  • Группировать образцы по ключам RC4 и сверять с включёнными маркерами кампаний для выявления связей между инцидентами.
  • Идентифицировать и каталогизировать SSL-сертификаты серверов C2 (фингерпринты) как дополнительный признак инфраструктуры.
  • Усилить детекцию на основе поведения процессов и межсессионной корреляции вместо простого сопоставления хэшей.

Вывод

WARMCOOKIE/BadSpace демонстрирует направление развития современных бэкдоров: смещение акцента в сторону гибкости исполнения, динамического маскирования и встроенной маркировки кампаний. Это делает традиционные сигнатурные подходы недостаточными — для эффективной защиты необходимы поведенческий мониторинг, корреляция по инфраструктурным артефактам (RC4-ключи, SSL-сертификаты) и особое внимание к нетипичным параметрам запуска и повторяемым mutex.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: