«Лаборатория Касперского» впервые обнаружила случаи хранения вредоносного кода в журналах событий Windows

Эксперты «Лаборатории Касперского» обнаружили необычную вредоносную кампанию. В ней для хранения вредоносного ПО используются журналы событий Windows.

«Лаборатория Касперского» впервые обнаружила случаи хранения вредоносного кода в журналах событий Windows

Более того, атакующие применяют широкий спектр техник, включая SilentBreak и CobaltStrike, легальные инструменты для тестирования на проникновение, указывается в релизе компании.

Также в цепочку заражения входит целый набор вспомогательных модулей, написанных в том числе на Go. Они используются, чтобы затруднить обнаружение троянцев последней ступени.

Ранее эксперты компании не видели технику скрытия вредоносного кода внутри журналов событий Windows. За первичное заражение системы отвечает модуль из архива, скачиваемого жертвой. Некоторые файлы для повышения доверия к ним подписаны цифровым сертификатом.

Заканчивается эта цепочка сразу несколькими троянцами для удаленного управления зараженными устройствами. Они отличаются и способом передачи команд (HTTP или именованные каналы), и даже их набором. У некоторых версий троянцев таких команд десятки.

«Помимо использования сразу двух коммерческих инструментов и большого количества модулей нас очень заинтересовал факт хранения зашифрованного шелл-кода в журнале событий Windows, — говорит ведущий эксперт по кибербезопасности «Лаборатории Касперского» Денис Легезо. — Такую технику скрытия присутствия зловреда в системе можно было бы добавить в матрицу MITRE».

Подписывайтесь на наши группы, чтобы быть в курсе событий отрасли.

Новости в тему


Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных