Threat Database Trojans CostaBricks

CostaBricks

CostaBricks ist ein maßgeschneiderter Loader, mit dem die 32-Bit-Version der SombRAT Backdoor-Malware bereitgestellt wird. Beide Tools sind Teil des Arsenals einer Hacker-Gruppe namens CostaRicto, die als Söldner zum Mieten fungiert. Für CostaBricks haben die Hacker eine einzigartige Implementierung eines Mechanismus für virtuelle Maschinen erstellt, der für die Ausführung eines eingebetteten Bytecodes verantwortlich ist, der die endgültige Nutzlast decodiert und in den Speicher einfügt. Dieser Mechanismus der virtuellen Maschine besteht aus C ++ - Objekten und Klassen und verfügt über 20 verschiedene Anweisungen mit jeweils zwischen null und drei Operanden. Der Zweck dieser Methode besteht darin, die Verschleierung der von der Bedrohung ausgeführten Bedrohungsaktivitäten zu erhöhen. Weitere in der Bedrohung festgestellte Anti-Analyse-Maßnahmen umfassen den gesamten, unverhüllten Code einer legitimen Open-Source-Anwendung namens Blink. Dieser Code wird niemals ausgeführt.

Der von CostaBricks verwendete Bytecode blieb in den verschiedenen Stichproben der Bedrohung, die von den Infosec-Experten von BlackBerry analysiert wurden, identisch. Es ist genau 1800 Zeilen lang, aber die meisten von ihnen sind einfach Flusen, die zu Verschleierungszwecken eingefügt wurden. Die eigentliche Programmierung des Bytecodes ist dafür verantwortlich, die eingebetteten Malware-Nutzdaten zu dekodieren, in den Speicher des gefährdeten Systems zu laden und dann auszuführen. Die Nutzdaten werden durch einen benutzerdefinierten symmetrischen Algorithmus mit fest codierten Schlüsseln entschlüsselt, die als Kombination von SHL / SHR / SUB / ADD / XOR beschrieben werden können.

Im Trend

Am häufigsten gesehen

Wird geladen...