Разделы

ПО Безопасность Маркет

Вредоносы научились использовать и отключать антивирусы

Обнаружены два вредоноса. Программа Shlayer для macOS старается отключить систему Gatekeeper, чтобы безнаказанно устанавливать новые модули. Троянец Astaroth для Windows эксплуатирует системный процесс антивируса Avast.

Отключаем или используем

Эксперты по безопасности выявили сразу два новых вредоноса, так или иначе атакующих или эксплуатирующих антивирусные программы на разных платформах.

В частности, новый вариант многоступенчатой программы Shlayer атакующей macOS, научился отключать защитную систему Gatekeeper, чтобы запускать неподписанный код.

Второй вредонос — это PC-троянец Astaroth, который способен использовать процессы антивируса Avast и продукты бразильской компании GASTecnologia для кражи данных и установки новых вредоносных модулей.

Некоторые подробности

Первый вариант Shlayer был выявлен еще год назад. Как и многие другие вредоносы под macOS, он выдавал себя за обновления AdobeFlash. То же самое делает и новая версия, с той лишь разницей, что если первый вариант распространялся через торренты, то новый — через взломанные домены или клоны легитимных сайтов, выводящих пользователям всплывающие окна с предложением скачать обновление. Также были отмечены случаи, когда ссылки на Shlayer попадались в рекламе, размещенной на легитимных сайтах.

haker600.jpg
Два вредоноса отключают или эксплуатируют защитные средства ОС

Shlayer атакует все версии macOS, включая последнюю — 10.14.3 Mojave. На компьютеры жертв он попадает в виде файла .DMG, .PKG, .ISO или .ZIP, часть из которых снабжена подписью разработчика Apple, чтобы придать им большую легитимность.

Новая версия Shlayer также использует вредоносные shell-скрипты для скачивания дополнительных компонентов.

Как пишут исследователи группы CarbonBlack, при монтировании образа DMGи запуске мнимого инсталлятора из скрытой папки в смонтированном разделе запускается скрипт .command, который декодирует и дешифрует второй скрипт, содержащий, в свою очередь, другой закодированный скрипт, который позднее также будет запущен.

Последний скрипт из этой «гирлянды» представляет собой финальный этап первой стадии заражения; он собирает данные о версии macOS, установленной на целевой машине, включая уникальный идентификатор платформы, генерирует сессию GUID (используя uuidgen), создает специальную URL-ссылку, используя информацию, сгенерированную на предыдущих двух этапах, и скачивает вредоносный компонент для второй стадии заражения.

Затем он пытается скачать .ZIP-файл, используя curl, создает папку в /tmp и деархивирует в нее скачанное, используя пароли, вшитые в скрипт. Скачанный файл преобразуется в исполняемый и запускается, а окно скрипта закрывается с помощью команды killallTerminal.

После этого вредонос пытается повысить привилегии в sudo, используя /usr/libexec/security_authtrampoline. (Эту методику еще в 2017 г. описал эксперт Патрик Уордл (PatrickWardle).)

После этого Shlayer пытается отключить Gatekeeper, чтобы, с точки зрения операционной системы, все скачанные и запущенные модули выглядели как легитимные.

На случай, если это не получится, некоторые компоненты второй стадии снабжены действующими подписями разработчика Apple.

На данный момент Shlayer распространяет исключительно нежелательную рекламу, но в любой момент он также может начать распространять и более опасные компоненты.

Троянский конь Иштар

Astaroth — троянец, который атакует бразильских и европейских пользователей. Как и прошлые версии, новая эксплуатирует «легитимные системные процессы Windows для осуществления вредоносных операций и скрытной доставки вредоносных модулей», — так гласит описание, приводимое экспертами CybereasonNocturnus. Однако теперь троянец способен использовать в своих целях также «известные [защитные] инструменты и даже анивирусное ПО для расширения собственной функциональности».

Александр Мельников, KYFO: Уже сегодня многие услуги при задержке рейса можно получить по посадочным талонам
Цифровизация

Известно, что, как и более ранние версии Astaroth, нынешняя были способна использовать средства, называемые Living-off-the-landBinaries (или LOLbins), такие как интерфейс командной строки WindowsManagementInstrumentationConsole (WMIC) для скрытного скачивания и установки вредоносных модулей. Теперь же он также использует утилиту WindowsBITSAdmin — для скачивания из дополнительных источников (точнее, с командных серверов) новых модулей, которые спрятаны либо в изображениях, либо в файлах без расширений. Все это снабжено весьма эффективной обфускацией (запутыванием).

Что же касается антивирусов, то вредонос способен производить инъекцию вредоносного модуля в процесс aswrundll.exe антивируса Avast. Этот процесс используется и для сбора сведений о зараженной машине, и для подгрузки дополнительных модулей.

Аналогичным образом Astaroth может эксплуатировать процесс unins000.exe, запускаемый антивирусом GASTecnologia для поиска и сбора персональных данных о пользователе системы, если на ней нет антивируса Avast.

Троянец функционирует как кейлоггер, перехватывает вызовы операционной системы и собирает информацию из буфера обмена. Кроме того, он пытается собирать любые логины и пароли пользователей.

Олег Пашинин, «Философия.ИТ» — Как в «Росатоме» импортозаместили западную СЭД
Импортонезависимость

Со своей стороны, разработчики Avast так прокомментировали информацию о новом троянце. «Авторы эксплуатируют доверенный двоичный код для запуска вредоноса; в данном случае они использовали процесс Avast, вероятно, по причине большого размера нашей пользовательской базы в Бразилии... Важно понимать, что речь не идет ни об инъекции, ни о повышении привилегий. После установки, двоичные файлы Avast снабжены механизмом самозащиты, предотвращающим инъекции. В нашем случае, злоумышленники используют файл Avast для запуска двоичного кода таким же образом, как это может делать любая DLL, использующая встроенную в Windows программу rundll32.exe.»

Разработчики Avast также отметили, что уже снабдили свой антивирус средствами защиты от Astaroth и прорабатывают изменения в антивирус, которые позволят блокировать попытку использовать процесс подобными троянцами.

«Использование LOLbins, т. н. living-off-the-landbinaries — это действительно не инъекция кода, строго говоря. Троянец Astaroth злоупотребляет особенностью операционной системы, а не слабыми местами конкретных программ, так что ответственности Avast тут действительно никакой нет, — считает Олег Галушкин, директор по информационной безопасности компании SECConsultServices. — Намерение снабдить антивирус защитой от действия подобных вредоносов можно только приветствовать».

Роман Георгиев