VEIL#DROP wykorzystuje Blogger do dostarczania stealeru PureLogs w wieloetapowym ataku fileless - Security Bez Tabu

VEIL#DROP wykorzystuje Blogger do dostarczania stealeru PureLogs w wieloetapowym ataku fileless

Cybersecurity news

Wprowadzenie do problemu / definicja

VEIL#DROP to nazwa nadana nowemu wieloetapowemu łańcuchowi infekcji, który łączy socjotechnikę, skrypty PowerShell, techniki fileless oraz nadużycie zaufanej infrastruktury internetowej do dostarczenia infostealera PureLogs. Kampania pokazuje, że współczesne operacje malware coraz częściej opierają się na sekwencji etapów ukrywających właściwy ładunek aż do momentu uruchomienia go w pamięci.

W praktyce oznacza to odejście od prostych, łatwych do wykrycia plików wykonywalnych na rzecz elastycznych łańcuchów infekcji, które utrudniają analizę statyczną, obchodzą zabezpieczenia reputacyjne i ograniczają liczbę artefaktów pozostawianych na dysku.

W skrócie

  • Atak rozpoczyna się od pliku JavaScript podszywającego się pod dokument, na przykład PDF.
  • Skrypt uruchamia PowerShell z mechanizmami omijającymi ograniczenia wykonywania.
  • Kolejny etap pobierany jest z zasobu hostowanego na Bloggerze.
  • Malware odszyfrowuje ładunek, dynamicznie buduje kolejne komponenty i wykonuje kod w pamięci.
  • Finalnym celem jest wdrożenie stealeru PureLogs do kradzieży danych i poświadczeń.

Kontekst / historia

Kampania wpisuje się w dobrze znany trend nadużywania legalnych usług chmurowych i popularnych platform webowych do hostowania etapów pośrednich malware. Atakujący od lat wykorzystują renomowane serwisy, aby ukryć złośliwy ruch wśród zwykłej aktywności sieciowej i zwiększyć szanse na ominięcie filtrów opartych na reputacji domen.

W przypadku VEIL#DROP szczególnie istotne jest połączenie kilku technik w ramach jednego scenariusza: maskowania pliku jako dokumentu, użycia PowerShell jako narzędzia wykonawczego, ładowania wielu etapów oraz wykorzystania legalnych binariów systemowych do uruchamiania kodu. Taki model zwiększa odporność kampanii na klasyczne mechanizmy wykrywania i utrudnia działania zespołów reagowania na incydenty.

Analiza techniczna

Łańcuch infekcji rozpoczyna się od pliku JavaScript o nazwie sugerującej nieszkodliwy dokument, przykładowo z podwójnym rozszerzeniem wskazującym na PDF. Po uruchomieniu przez Windows Script Host skrypt inicjuje PowerShell z parametrami pozwalającymi ominąć standardowe ograniczenia wykonywania.

Następnie pobierany jest kolejny etap z zasobu umieszczonego na Bloggerze. To ważny element operacji, ponieważ zaufana infrastruktura może utrudniać wykrycie i blokowanie ruchu na podstawie samej reputacji domeny. Dodatkowo pobrany skrypt może odgrywać rolę zasłony dymnej, otwierając legalną stronę internetową i tworząc wrażenie, że użytkownik uruchomił zwykły dokument.

Loader PowerShell realizuje potem zestaw działań charakterystycznych dla nowoczesnych kampanii malware:

  • usuwa artefakty początkowego uruchomienia,
  • kończy wybrane procesy w celu utrudnienia analizy,
  • odszyfrowuje osadzony ładunek metodą XOR,
  • przygotowuje dalsze etapy bez trwałego zapisu na dysku.

Jednym z ciekawszych elementów technicznych jest dynamiczne budowanie adresu kolejnego etapu w czasie wykonania. Zamiast korzystać ze stałych i łatwych do wykrycia wskaźników, malware rekonstruuje ścieżki podczas działania. Dodatkowo stosowana jest mutacja runtime, w której placeholdery są zastępowane losowymi wartościami i ciągami znaków. Takie podejście ogranicza skuteczność sygnatur bazujących na hashach, zawartości skryptu lub stałych wzorcach adresów.

Po zrekonstruowaniu kolejny skrypt wykonywany jest bezpośrednio w pamięci. Jego zadaniem jest załadowanie właściwego komponentu .NET z użyciem reflective code loading, czyli techniki umożliwiającej uruchomienie assembly bez klasycznego zapisu pliku wykonywalnego na dysk. Jeżeli środowisko ochronne zablokuje bezpośrednie wykonanie odzyskanego kodu z pamięci, kampania wykorzystuje mechanizmy awaryjne oparte na podpisanych przez Microsoft narzędziach systemowych, takich jak regsvcs.exe, installutil.exe, msbuild.exe czy aspnet_compiler.exe.

Taki model odpowiada podejściu Living-off-the-Land. Zamiast polegać na pojedynczym narzędziu, łańcuch infekcji próbuje wielu metod kaskadowo, aż jedna z nich okaże się skuteczna. To znacząco zwiększa odporność operacji na częściowe blokady i utrudnia opracowanie jednej uniwersalnej reguły ochronnej.

Konsekwencje / ryzyko

Końcowym skutkiem infekcji jest wdrożenie PureLogs, stealeru zaprojektowanego do pozyskiwania wrażliwych danych z systemu ofiary. Tego typu malware może służyć do kradzieży zapisanych poświadczeń, danych przeglądarkowych, informacji o sesjach, artefaktów uwierzytelniających oraz innych danych przydatnych w dalszych etapach ataku.

Ryzyko nie ogranicza się do pojedynczego hosta. Przejęte dane mogą zostać wykorzystane do dalszego dostępu do kont firmowych, ruchu bocznego w sieci, eskalacji uprawnień, przejęcia usług chmurowych, a także uruchomienia kolejnych etapów operacji, w tym ransomware lub nadużyć tożsamości.

Szczególnie niebezpieczne jest połączenie kilku właściwości operacyjnych: fileless execution, użycia zaufanych usług internetowych, dynamicznej mutacji oraz LOLBinów. Wspólnie tworzą one łańcuch, który może ominąć klasyczne zabezpieczenia oparte na sygnaturach, reputacji i analizie statycznej pojedynczych plików.

Rekomendacje

Organizacje powinny traktować tę kampanię jako argument za obroną wielowarstwową, a nie za wzmacnianiem jednego punktu kontrolnego. Skuteczna ochrona wymaga widoczności procesów skryptowych, analizy zachowań w pamięci oraz monitorowania legalnych narzędzi systemowych wykorzystywanych poza typowym profilem administracyjnym.

  • blokować lub ściśle ograniczać wykonywanie plików skryptowych z podwójnymi rozszerzeniami,
  • kontrolować użycie Windows Script Host, PowerShell i interpreterów skryptów tam, gdzie nie są wymagane biznesowo,
  • włączyć zaawansowane logowanie PowerShell, w tym rejestrowanie poleceń i treści skryptów,
  • monitorować nietypowe połączenia do usług publicznych wykorzystywanych jako staging,
  • wykrywać uruchomienia LOLBinów takich jak msbuild.exe, installutil.exe czy regsvcs.exe poza standardowym zakresem użycia,
  • stosować detekcje behawioralne dla sekwencji: skrypt, PowerShell, pobranie treści, dekodowanie i wykonanie w pamięci,
  • ograniczyć możliwość uruchamiania niepodpisanych lub nieautoryzowanych skryptów przez polityki aplikacyjne,
  • wzmacniać ochronę tożsamości przez MFA, segmentację uprawnień i monitoring anomalii logowania,
  • prowadzić szkolenia użytkowników dotyczące plików udających dokumenty.

Z perspektywy SOC kluczowe znaczenie ma korelacja zdarzeń procesowych, pamięciowych i sieciowych. W kampaniach tego typu statyczne wskaźniki kompromitacji szybko tracą wartość, natomiast trwałe pozostają wzorce zachowania związane z uruchomieniem skryptu, obejściem polityk PowerShell, pobraniem kolejnych etapów z usługi publicznej i wykonaniem kodu przy użyciu legalnych binariów systemowych.

Podsumowanie

VEIL#DROP pokazuje, jak skutecznie atakujący łączą socjotechnikę z technikami fileless i nadużyciem zaufanej infrastruktury internetowej. Wykorzystanie Bloggera jako etapu pośredniego, dynamiczna mutacja skryptów, reflective loading komponentu .NET oraz kaskadowe użycie LOLBinów tworzą operację zaprojektowaną z myślą o skrytości i odporności na klasyczne mechanizmy wykrywania.

Dla zespołów bezpieczeństwa najważniejszy wniosek jest praktyczny: samo blokowanie znanych hashy, domen lub pojedynczych plików nie wystarcza. Konieczne są mechanizmy wykrywania oparte na zachowaniu, kontrola narzędzi systemowych, monitoring pamięci oraz szybkie reagowanie na symptomy kradzieży poświadczeń.

Źródła

  1. The Hacker News — VEIL#DROP: malware chain uses Blogger to deliver PureLogs
  2. MITRE ATT&CK — Drive-by Compromise
  3. MITRE ATT&CK — Reflective Code Loading
  4. LOLBAS Project