Sophos sikkerhedsforskere har netop frigivet nye oplysninger om SystemBC-værktøjet, der bruges i flere ransomware-angreb.
Lignende tilgange til, hvordan værktøjet bruges, kan betyde, at en eller flere datterselskaber ransomware-as-a-service har implementeret det. SystemBC er en bagdør, der giver vedvarende forbindelse til målrettede systemer.
Udvikling af SystemBC-værktøjet
SystemBC, først opdaget i 2019, har gennemgået udvikling. Værktøjet er blevet brugt som en proxy og en RAT (fjernadministrativt værktøj), i stand til at udføre Windows-kommandoer. Andre muligheder inkluderer udførelse af scripts, ondsindet eksekverbar, og DLL-filer. Når SystemBC er faldet på systemet, det tillader en bagdørforbindelse til angribere.
De seneste eksempler på værktøjet afslører, at det har udviklet sig. Disse prøver bærer kode, der bruger Tor-netværket til at kryptere og skjule trafikdestinationen kommando-og-kontrol. Forskerne har været vidne til "hundredvis af SystemBC-forsøg over hele verden." Ransomware kampagner af Ryuk og Egregor familier brugte værktøjet i kombination med post-udnyttelsesværktøjer som Cobalt Strike. "I nogle tilfælde, SystemBC RAT blev implementeret på servere, efter at angriberne har fået administrative legitimationsoplysninger og flyttet dybt ind i det målrettede netværk,”Siger Sophos.
SystemBCs Tor-komponent
Tor-komponenten i værktøjet er baseret på mini-tor, et open source-bibliotek til let forbindelse til Tor's netværk.
Koden til mini-Tor duplikeres ikke i SystemBC (da mini-Tor er skrevet i C ++ og SystemBC er kompileret fra C). Men bot-implementeringen af Tor-klienten ligner meget implementeringen, der blev brugt i open source-programmet, herunder dens omfattende brug af Windows Crypto Next Gen (CNG) API's Base Crypto (BCrypt) funktioner, rapporten afslører.
Andre ondsindede funktioner
Når den er udført fra en planlagt opgave, bot indsamler specifikke systemoplysninger, gemmer det i en buffer, og sender det til kommando-og-kontrol-serveren via Tor. De indsamlede oplysninger inkluderer følgende:
- Aktivt Windows-brugernavn
- Windows build-nummer til det inficerede system
- En WOW-proceskontrol (for at afgøre, om systemet er 32-bit eller 64-bit)
- Volumen serienummer.
Endvidere, botoperatørerne kan installere kommando-og-kontrol-serveren for at sende forskellige nyttelast tilbage til det inficerede system til udførelse. “SystemBC kan analysere og udføre EXE- eller DLL-datablobs, der sendes over Tor-forbindelsen, shell-kode, VBS scripts, Windows-kommandoer og batch-scripts, og PowerShell-scripts," Advarer Sophos.
Hvad betyder SystemBCs muligheder for ransomware-angreb?
Samlet, det brede spektrum af værktøjets muligheder tillader angreb at udføre opdagelse, eksfiltrering, og lateral bevægelse eksternt ved hjælp af pakkede scripts og eksekverbare filer. Forskerne siger, at “disse egenskaber oprindeligt var beregnet til masseudnyttelse, men de er nu foldet ind i værktøjssættet til målrettede angreb - inklusive ransomware. ”
Heldigvis, SystemBC kan detekteres af mange anti-malware-værktøjer. Men, trusselaktører fortsætter med at bruge værktøjet med succes, fordi de bruger "inkonsekvent malware-beskyttelse på tværs af organisationer eller udnytter legitime legitimationsoplysninger til at deaktivere malware-beskyttelse."
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: