Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
BlackSanta to nowo opisany moduł typu EDR killer, czyli narzędzie stworzone do osłabiania lub wyłączania zabezpieczeń endpointów jeszcze przed uruchomieniem właściwego malware. Jego rola nie ogranicza się do prostego obchodzenia ochrony — komponent aktywnie przygotowuje system do dalszej kompromitacji poprzez modyfikację ustawień bezpieczeństwa, ograniczanie telemetrii oraz neutralizowanie procesów ochronnych.
W analizowanej kampanii BlackSanta został wykorzystany przeciwko działom HR, które od lat pozostają atrakcyjnym celem atakujących ze względu na regularne przetwarzanie dokumentów od nieznanych nadawców. Połączenie socjotechniki z wieloetapowym łańcuchem infekcji pokazuje, że współczesne operacje coraz częściej są projektowane tak, by ominąć zarówno użytkownika, jak i warstwy technicznej ochrony.
W skrócie
Kampania była ukierunkowana na pracowników działów zasobów ludzkich i wykorzystywała złośliwe pliki ISO podszywające się pod CV lub dokumenty aplikacyjne. Po uruchomieniu skrótu LNK inicjowany był skrypt PowerShell, który wydobywał ukryty kod z pliku graficznego przy użyciu steganografii, a następnie uruchamiał kolejne komponenty w pamięci.
Jednym z kluczowych elementów był BlackSanta, odpowiedzialny za osłabienie lokalnych mechanizmów ochronnych. Moduł modyfikował ustawienia Microsoft Defender, tłumił część funkcji telemetrycznych oraz wykorzystywał sterowniki do kończenia procesów związanych z AV, EDR i innymi narzędziami bezpieczeństwa.
Kontekst / historia
Działy HR są naturalnym celem kampanii spear phishingowych, ponieważ ich codzienna praca obejmuje otwieranie załączników, pobieranie dokumentów z chmury i analizę materiałów przesyłanych przez osoby spoza organizacji. To środowisko sprzyja skutecznemu wykorzystaniu wiadomości podszywających się pod kandydatów.
W tym przypadku atakujący używali obrazów ISO hostowanych w usługach chmurowych. Tego rodzaju kontenery wciąż bywają skuteczne, ponieważ utrudniają szybką ocenę realnej zawartości przesyłki i mogą omijać część mniej zaawansowanych mechanizmów filtracji. Sama operacja miała charakter selektywny i wykazywała cechy długotrwałej kampanii nastawionej na unikanie analizy oraz stopniowe osłabianie obrony systemu.
Analiza techniczna
Łańcuch infekcji rozpoczynał się od pliku ISO zawierającego kilka elementów: skrót LNK podszywający się pod dokument PDF, skrypt PowerShell, obraz oraz ikonę ICO. Po uruchomieniu skrótu wykonywany był PowerShell, który odczytywał ukryte dane z pliku graficznego. Zastosowanie steganografii miało ograniczyć wykrywalność i utrudnić analizę statyczną.
Następnie malware pobierał archiwum ZIP z legalnym plikiem wykonywalnym SumatraPDF oraz złośliwą biblioteką DWrite.dll. Wskazuje to na użycie techniki DLL sideloading, w której prawidłowy proces ładuje spreparowaną bibliotekę z kontrolowanej lokalizacji. Dzięki temu złośliwy kod działa pod przykryciem zaufanej aplikacji.
Kolejnym etapem był fingerprinting środowiska. Malware zbierał informacje o systemie, komunikował się z serwerem C2 i wykonywał testy pod kątem sandboxów, maszyn wirtualnych oraz narzędzi debugujących. Jeśli środowisko wyglądało na analityczne, wykonanie mogło zostać zatrzymane. Operatorzy stosowali również techniki uruchamiania ładunków w pamięci oraz process hollowing, co dodatkowo utrudniało detekcję.
Najważniejszym komponentem pozostawał jednak BlackSanta. Moduł dodawał wykluczenia w Microsoft Defenderze dla wybranych typów plików, modyfikował ustawienia rejestru związane z telemetrią i automatycznym przekazywaniem próbek oraz tłumił powiadomienia systemowe. Jego zasadniczym zadaniem było jednak wyłączanie narzędzi bezpieczeństwa poprzez enumerację procesów i porównywanie ich nazw z zaszytą listą produktów ochronnych.
Po wykryciu celu BlackSanta wykorzystywał załadowane sterowniki do odblokowania i zakończenia wskazanych procesów na poziomie jądra systemu. To znacząco zwiększa skuteczność ataku, ponieważ mechanizmy self-defense wielu narzędzi są trudniejsze do obejścia z poziomu user mode. W kampanii odnotowano także wykorzystanie podejścia BYOVD, czyli nadużycia legalnych, lecz podatnych sterowników, takich jak RogueKiller Antirootkit czy IObitUnlocker.sys.
Konsekwencje / ryzyko
Zagrożenie dla organizacji jest wysokie, ponieważ kampania łączy realistyczny pretekst biznesowy z technikami obniżającymi widoczność aktywności atakującego. Otworzenie pojedynczego pliku przez pracownika HR może uruchomić wieloetapowy mechanizm, którego nie zatrzyma jedna warstwa ochrony.
Największe ryzyko wynika z tego, że BlackSanta nie jest końcowym payloadem, lecz narzędziem przygotowującym środowisko do dalszej kompromitacji. Po wyłączeniu lub osłabieniu EDR i AV atakujący mogą wdrożyć infostealery, backdoory, ransomware lub narzędzia do ruchu bocznego. Brak dostępu do finalnego ładunku nie zmniejsza zagrożenia — wskazuje raczej na wysoki poziom bezpieczeństwa operacyjnego po stronie operatorów.
Dodatkowym problemem jest użycie technik takich jak steganografia, DLL sideloading, process hollowing, wykonanie w pamięci, testy antyanalityczne oraz operacje z użyciem sterowników na poziomie kernela. Organizacje polegające głównie na sygnaturach plików i podstawowych alertach mogą nie wykryć incydentu wystarczająco wcześnie.
Rekomendacje
Organizacje powinny traktować działy HR jako obszar podwyższonego ryzyka i wdrożyć dla nich bardziej restrykcyjne polityki bezpieczeństwa. Dotyczy to zwłaszcza ograniczania możliwości otwierania obrazów ISO, skrótów LNK oraz archiwów pobieranych z poczty i usług chmurowych. Dokumenty aplikacyjne warto obsługiwać w środowisku odseparowanym lub sandboxowanym.
- monitorować uruchomienia PowerShell z nietypowymi argumentami oraz z kontekstu plików LNK,
- wykrywać DLL sideloading poprzez analizę ścieżek ładowanych bibliotek,
- blokować nieautoryzowane sterowniki i wdrożyć kontrolę pod kątem BYOVD,
- audytować zmiany w ustawieniach Microsoft Defender, wykluczeniach i telemetrii,
- monitorować próby wyłączania procesów EDR i AV oraz operacje na poziomie jądra,
- ograniczać lokalne uprawnienia administracyjne na stacjach roboczych,
- stosować reguły detekcyjne dla process hollowing, in-memory execution i komunikacji z niestandardowym C2,
- szkolić zespoły rekrutacyjne w rozpoznawaniu spreparowanych aplikacji i fałszywych CV.
Istotne jest również utrzymanie widoczności telemetrycznej poza samym endpointem. Jeśli stacja robocza utraci część funkcji ochronnych, organizacja nadal powinna mieć możliwość wykrywania anomalii na poziomie sieci, tożsamości oraz logów z systemów centralnych.
Podsumowanie
BlackSanta pokazuje, że nowoczesne kampanie malware coraz częściej koncentrują się nie tylko na dostarczeniu ładunku, ale przede wszystkim na wcześniejszym rozbrojeniu mechanizmów obronnych. Atak wymierzony w działy HR łączy socjotechnikę, techniki unikania analizy oraz nadużycie sterowników działających na poziomie jądra, co znacząco podnosi skuteczność operacji.
Dla zespołów bezpieczeństwa oznacza to konieczność wzmacniania ochrony procesów rekrutacyjnych, monitorowania zmian w konfiguracji endpoint security i budowania wielowarstwowych mechanizmów detekcji. W praktyce odporność organizacji będzie zależała nie od jednej technologii, lecz od zdolności do wykrywania i zatrzymywania ataku na wielu etapach.