- 19,406
- 40
- 8 Ноя 2022
Миллионы компьютеров оказались беззащитны перед восьмиступенчатой атакой через доверенную программу.
ArmouryLoader Для просмотра ссылки Войдиили Зарегистрируйся в центре внимания специалистов по информационной безопасности, став одной из самых технически сложных реализаций загрузчиков вредоносного кода за последнее время. Его архитектура демонстрирует зрелый подход к обходу защит, продуманное использование малозаметных техник и глубокую интеграцию в доверенное программное обеспечение.
В качестве основной точки входа злоумышленники выбрали программу Для просмотра ссылки Войдиили Зарегистрируйся , предназначенную для управления игровыми компонентами. Именно её библиотека «ArmouryA.dll» подвергается подмене, в частности экспортируемая функция freeBuffer становится стартовой точкой заражения.
Этот вредоносный компонент начал распространяться ещё в 2024 году и с тех пор претерпел множество доработок, превратившись в многоступенчатую платформу доставки троянов. Среди загружаемых им полезных нагрузок встречаются такие вредоносы, как SmokeLoader и CoffeeLoader.
ArmouryLoader обеспечивает как эскалацию привилегий, так и устойчивое закрепление в системе, скрываясь от большинства решений класса EDR. Его ключевой особенностью стала опора на OpenCL — платформу параллельных вычислений с использованием GPU, что делает невозможным его полноценное выполнение в песочницах и виртуальных средах без графического ускорителя или 32-битной архитектуры.
Технический арсенал ArmouryLoader включает целый спектр методов обфускации: вставка лишних инструкций, саморасшифровывающийся код и поддельные цепочки вызовов. В процессе исполнения задействуются гаджеты из легитимных библиотек, что позволяет незаметно читать память и подменять адреса переходов. Благодаря подделке стека вызовов, система не способна отследить истинный источник системных вызовов, что делает анализ особенно трудоёмким.
Загрузчик реализован в восемь стадий, каждая из которых отвечает за специфические задачи. Первая активирует шелл-код через перехваченные экспортируемые функции. Вторая, четвёртая и шестая стадии декодируют полезную нагрузку при помощи каскадных XOR-петель. Третья стадия вызывает OpenCL-функции для расшифровки кода, используя вычисления на графических устройствах NVIDIA, AMD или Intel. На пятой стадии происходит повышение привилегий: вначале через подделку процесса «explorer.exe», а затем через компоненты CMSTPLUA или CMLuaUtil.
Механизмы закрепления в системе построены на создании запланированных задач: при наличии прав администратора они запускаются каждые 10 минут с максимальными привилегиями. Если прав недостаточно — период выполнения увеличивается до 30 минут. Файлы вредоноса получают скрытые атрибуты, становятся доступными только для чтения и защищаются модификациями ACL, блокирующими доступ для пользователей.
Особо продвинутые стадии включают такие техники, как Halo’s Gate — метод извлечения номеров системных вызовов, минуя перехватчики, и Heaven’s Gate — запуск 64-битного кода внутри процесса dllhost.exe на 32-битных системах. Последняя стадия осуществляет выделение памяти и управление потоком с помощью цепочек ROP.
Отчёт компании Antiy Для просмотра ссылки Войдиили Зарегистрируйся наличие уникального OpenCL-дешифратора, работающего через XOR-операции над строками и создающего ключи для расшифровки шелл-кода. Анализ образца размером 1,41 МБ (MD5: 5A31B05D53C39D4A19C4B2B66139972F) выявил сильную обфускацию, поддельные подписи ASUS и динамическое разрешение API через PEB.
Согласно матрице MITRE ATT&CK, поведение ArmouryLoader соотносится с такими техниками, как Для просмотра ссылки Войдиили Зарегистрируйся (запланированные задачи), Для просмотра ссылки Войди или Зарегистрируйся (исполнение, инициируемое событием), Для просмотра ссылки Войди или Зарегистрируйся (деобфускация файлов) и Для просмотра ссылки Войди или Зарегистрируйся (обход защиты через дешифрацию и системные вызовы) и Для просмотра ссылки Войди или Зарегистрируйся (обфускация файлов).
ArmouryLoader Для просмотра ссылки Войди
В качестве основной точки входа злоумышленники выбрали программу Для просмотра ссылки Войди
Этот вредоносный компонент начал распространяться ещё в 2024 году и с тех пор претерпел множество доработок, превратившись в многоступенчатую платформу доставки троянов. Среди загружаемых им полезных нагрузок встречаются такие вредоносы, как SmokeLoader и CoffeeLoader.
ArmouryLoader обеспечивает как эскалацию привилегий, так и устойчивое закрепление в системе, скрываясь от большинства решений класса EDR. Его ключевой особенностью стала опора на OpenCL — платформу параллельных вычислений с использованием GPU, что делает невозможным его полноценное выполнение в песочницах и виртуальных средах без графического ускорителя или 32-битной архитектуры.
Технический арсенал ArmouryLoader включает целый спектр методов обфускации: вставка лишних инструкций, саморасшифровывающийся код и поддельные цепочки вызовов. В процессе исполнения задействуются гаджеты из легитимных библиотек, что позволяет незаметно читать память и подменять адреса переходов. Благодаря подделке стека вызовов, система не способна отследить истинный источник системных вызовов, что делает анализ особенно трудоёмким.
Загрузчик реализован в восемь стадий, каждая из которых отвечает за специфические задачи. Первая активирует шелл-код через перехваченные экспортируемые функции. Вторая, четвёртая и шестая стадии декодируют полезную нагрузку при помощи каскадных XOR-петель. Третья стадия вызывает OpenCL-функции для расшифровки кода, используя вычисления на графических устройствах NVIDIA, AMD или Intel. На пятой стадии происходит повышение привилегий: вначале через подделку процесса «explorer.exe», а затем через компоненты CMSTPLUA или CMLuaUtil.
Механизмы закрепления в системе построены на создании запланированных задач: при наличии прав администратора они запускаются каждые 10 минут с максимальными привилегиями. Если прав недостаточно — период выполнения увеличивается до 30 минут. Файлы вредоноса получают скрытые атрибуты, становятся доступными только для чтения и защищаются модификациями ACL, блокирующими доступ для пользователей.
Особо продвинутые стадии включают такие техники, как Halo’s Gate — метод извлечения номеров системных вызовов, минуя перехватчики, и Heaven’s Gate — запуск 64-битного кода внутри процесса dllhost.exe на 32-битных системах. Последняя стадия осуществляет выделение памяти и управление потоком с помощью цепочек ROP.
Отчёт компании Antiy Для просмотра ссылки Войди
Согласно матрице MITRE ATT&CK, поведение ArmouryLoader соотносится с такими техниками, как Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
