Les attaquants abusent des outils d’accès à distance légitimes et des scripts légers pour fournir entièrement asyncrat en mémoire, en contournant la détection basée sur des fichiers.
Les chercheurs en sécurité ont découvert un cheval de Troie à un accès à distance open-source, Asyncrat, livré via un chargeur en mémoire à plusieurs étapes, alors que les adversaires se déplacent vers des techniques sans fil.
Selon les résultats de LevelBlue Labs, les attaquants ont pris pied initial via un client ScreenConnect compromis et ont exécuté des scripts PowerShell pour récupérer les charges utiles à deux étapes.
«Cette technique illustre les logiciels malveillants sans fichier: aucun exécutable n’est écrit sur le disque, et toute logique malveillante est exécutée en mémoire», a expliqué Sean Shirley, ingénieur de sécurité de réseau chez LevelBlue, dans un article de blog. «L’approche contourne la détection traditionnelle basée sur le disque en opérant en mémoire, ce qui rend ces menaces plus difficiles à détecter, analyser et éradiquer.»
L’analyse a révélé une attaque inébranlable minimaliste, en utilisant des outils d’administration de confiance, de minuscules scripts bootstrap et des chargeurs .NET, conçus pour échapper à la détection basée sur la signature tout en offrant une capacité de télécommande complète.
Outils légitimes maltraités pour une mise en scène sans fil
TimeLine de LevelBlue attache le compromis initial à un déploiement ConnectWise Screenconnect utilisé comme point de terminaison relais / C2.
« L’acteur de menace a lancé une session interactive via relais.shipperZone (.) En ligne, un domaine malveillant connu lié à des déploiements de screenconnect non autorisés », a noté Shirley. « Depuis cette session, un VBScript (Update.vbs) a été exécuté à l’aide de WScript, déclenchant une commande PowerShell conçue pour récupérer deux charges utiles externes. »
Plutôt que de laisser tomber des binaires lourds, les opérateurs ont utilisé un petit code apparemment inoffensif – un VBScript pour les commandes PowerShell – pour récupérer et assembler deux charges utiles .NET en mémoire en mémoire. L’assemblage en première étape agit comme un obfuscateur / chargeur, convertissant le contenu téléchargé en tableaux d’octets et en utilisant la réflexion pour invoquer directement le main () d’un assemblage secondaire.
Cela maintient le système de fichiers propres et laisse les scanners antivirus à la recherche des mauvais signaux.
Rat avec évasion et persévérance
Une fois l’asyncrat chargé, les attaquants ont pris des mesures pour perturber les défenses de Windows. Le rapport note des techniques telles que la désactivation de l’interface de numérisation anti-malware (AMSI) et la falsification du suivi des événements pour Windows (ETW), deux fonctionnalités critiques pour la détection d’exécution. Pour maintenir la persistance, ils ont créé une tâche planifiée déguisée en «mise à jour Skype», garantissant que le rat redémarrerait après les redémarrages.
L’analyse de LevelBlue a également découvert le fichier de configuration crypté d’Asyncrat, sécurisé avec AES-256, qui contenait des instructions pour se connecter à un serveur de commande et de contrôle (C2) basé sur DuckDNS. La communication C2 a utilisé des formats de paquets personnalisés sur TCP, une méthode généralement utilisée pour la flexibilité et l’évasion.
Asyncrat accorde aux opérateurs accès à des fonctionnalités puissantes: journalisation de la touche, vol d’identification du navigateur, surveillance du presse-papiers et surveillance système. LevelBlue a publié une liste d’indicateurs de compromis (CIO) aux défenseurs à ajouter à leurs scanners. Les meilleures pratiques générales supplémentaires peuvent inclure le blocage des domaines malveillants, la chasse aux doublures PowerShell et les charges réfléchissantes .NET en mémoire, la surveillance de la falsification AMSI / ETW et la création de tâches planifiée suspecte.
Les acteurs de la menace se penchent de plus en plus vers des intrusions sans fil, dessinées par leur exécution silencieuse et leurs résultats fiables. Plus tôt cette année, les attaquants ont été surpris en utilisant une technique similaire, phishing un VBScript malveillant qui a finalement livré le populaire Remcos Rat en mémoire sur les machines victimes.
