O log de erros do Windows foi alterado por hackers para ocultar cargas maliciosas
Os cibercriminosos por trás disso usam logs de erros falsos para armazenar caracteres ASCII que são disfarçados de valores hexadecimais que decodificam a carga maliciosa, projetada principalmente para preparar terreno para ataques baseados em scripts. É usado como um truque descrito como parte de uma cadeia mais longa com os comandos intermediários do PowerShell que, em última análise, fornecem scripts para fins de investigação.
Leitura nas entrelinhas
O provedor de detecção de ameaças MSP chamado Huntress Labs descobriu um cenário de ataque em que um ator de ameaças visará principalmente o sistema que é usado para executar um truque incomum a ser seguido na rotina de ataque. O invasor por trás disso já obteve acesso ao computador de destino e obteve persistência. Nesse momento, eles usam um arquivo chamado “a.chk” que identifica o log de erros do Windows para um aplicativo. A última coluna mostra valores hexadecimais.
Estas são as representações decimais dos caracteres ASCII. Uma vez decodificados, eles criam um script que contata o servidor de comando e controle para a próxima etapa. Uma análise superficial do arquivo de log simulado provavelmente não gera nenhum sinalizador, pois os dados incluem registros de data e hora e referência para o número da versão interna do Windows.
De acordo com John Ferrell, “À primeira vista, parece um log para alguma aplicação. Possui registros de data e hora e inclui referências ao OS 6.2, o número da versão interna do Windows 8 e Windows Server 2012 ”
Além disso, uma aplicação mais próxima revela que o truque usado pelo ator para extrair a parte relevante dos dados e criar a carga útil codificada é mostrado abaixo como os números são convertidos em texto para formar o script. De acordo com Ferrell, a carga útil é obtida usando uma tarefa agendada representando uma genuína no host e compartilhando sua descrição. Dois executáveis são envolvidos, sendo ambos renomeados como cópias de arquivos legítimos para parecerem inofensivos.
Usando nomes de arquivos legítimos
Um nomeado é “BfeOnService.exe” e é uma cópia do “mshta.exe”, um utilitário que executa aplicativos HTML da Microsoft que foram usados para implantar arquivos HTA malévolos. Nesse caso, ele executa o VBScript para iniciar o PowerShell e executar o comando nele. O outro tem o nome “engine.exe” e é uma cópia de “powershell.exe”. Seu principal objetivo é extrair os números ASCII no log falso e convertê-los para obter a carga útil.
Ferrell afirma que o script decodificado dessa maneira aplica um patch de memória à Antimalware Scan Interface para ignorá-lo. Também ajuda programas antivírus a detectar e excluir ataques baseados em scripts.
Um segundo comando atua como um downloader que é executado para recuperar outro comando do PowerShell com as mesmas funções. No final da cadeia, está a carga útil que coleta informações sobre o PC comprometido.
É inédito o que o invasor procura, mas o último script coleta detalhes sobre navegadores instalados, produtos de segurança, software de ponto de venda e preparação geral e específica de impostos. Está longe de ser um ataque sofisticado, mostra que os criminosos cibernéticos exploram todas as receitas para ganhar posição na rede de destino e desenvolver seu ataque de várias maneiras criativas.