Исследователи Palo Alto Unit 42 описали 3 новых загрузчика Cobalt Strike , каждый из которых загружает разные типы имплантатов – SMB Beacon, DLL Beacon и стейджер Cobalt Strike.
SMB Beacon (KoboldLoader)
Чтобы обойти песочницы, которые перехватывают только функции пользовательского режима высокого уровня, он вызывает встроенные функции API. Чтобы усложнить анализ, он исполняет функции с помощью хэша вместо использования простых текстовых строк.
KoboldLoader создает дочерний процесс инструмента Windows “sethc.exe”, затем создает новый раздел и сопоставляет с ним расшифрованный загрузчик маяка Cobalt Strike. Окончательное выполнение загрузчика Cobalt Strike происходит путем вызова “RtlCreateUserThread”.
DLL Beacon (MagnetLoader)
MagnetLoader имитирует законную библиотеку Windows. Все экспортированные функции MagnetLoader вызывают одну и ту же основную подпрограмму вредоносного ПО. При вызове какой-либо функции запускается точка входа DLL, в которой вредоносное ПО загружает оригинальную библиотеку “mscms.dll” и разрешает все подделываемые функции.
Загрузчик маяка Cobalt Strike расшифровывается в буфер памяти и запускается, используя параметр обратного вызова функции Windows API “EnumChildWindows”. Вредоносное ПО может злоупотреблять этим параметром, чтобы косвенно вызывать адрес через функцию обратного вызова и скрывать поток выполнения.
Стейджер (LithiumLoader)
LithiumLoader распространяется через легитимный установочный пакет FortiClient VPN, созданный злоумышленником и представленный VirusTotal как “FortiClientVPN_windows.exe”. Поскольку файл подписан, он не обнаруживается антивирусным ПО.
Программа установки представляет собой самораспаковывающийся RAR-архив, содержащий следующие файлы:
При запуске установщика все файлы автоматически помещаются в локальную папку “%AppData%” и запускаются оба исполняемых файла. Во время выполнения установщика FortiClient VPN инструмент WinGup дополнительно загружает вредоносную библиотеку “libcurl.dll”, импортируя некоторые функции из легитимной копии библиотеки “libcurl”.
При компиляции библиотеки LithiumLoader в легитимную библиотеку внедряется вредоносный сценарий одной из функций. Затем эта функция запускает шелл-код стейджера Cobalt Strike косвенно через функцию обратного вызова “EnumSystemGeoID”. Шелл-код стейджера Cobalt Strike заимствован из Metasploit и представляет собой обратную полезную нагрузку HTTP-оболочки.