Snip3 Loader

Forscher von Morphisec haben eine neue bedrohliche und hochentwickelte Malware-Bedrohung entdeckt, die sie als "Snip3" -Kryptor bezeichnet haben. Die Bedrohung wird in einem Cryptor-as-a-Service-Schema angeboten und in laufenden Angriffskampagnen verwendet, die zahlreiche RAT-Stämme (Remote Access Trojans) als endgültige Nutzdaten auf den gefährdeten Computern bereitstellen. Die leistungsstärksten Funktionen des Snip3-Loaders sind seine Funktionen zur Vermeidung von Erkennungen und zur Analyse, die auf mehreren fortschrittlichen Techniken basieren, z. B. die Ausführung von PowerShell-Code mit dem Parameter 'remotesigned', die Verwendung von Pastebin und top4top zum Staging, das Kompilieren von runPE-Loadern zur Laufzeit und Suchen nach Windows Sandbox- und VMWare-Virtualisierung.

Die Angriffskette besteht aus mehreren Phasen, wobei der anfängliche Angriffsvektor über Phishing-E-Mails verbreitet wird. Die Ködernachrichten versuchen, den Zielbenutzer zum Herunterladen einer beschädigten visuellen Basisdatei zu verleiten. In einigen Fällen verwendeten die Bedrohungsakteure stattdessen eine große Installationsdatei, um die Bereitstellung ihres Malware-Tools zu verbergen.

Die Anfangsphase des Snip3-Angriffs

In der ersten Phase wird ein VB-Skript bereitgestellt, das für die Vorbereitung und Initialisierung der nächsten Phase des Malware-Angriffs verantwortlich ist - eines PowerShell-Skripts in der zweiten Phase. Infosec-Forscher haben es geschafft, neben 11 Unterversionen vier Hauptversionen des VB-Skripts zu identifizieren. Was die 4 Versionen unterscheidet, ist die genaue Methode zum Laden der nächsten PowerShell, während die Unterversionen unterschiedliche Verschleierungstypen verwenden. Es sollte beachtet werden, dass der Bedrohungsakteur zu diesem frühen Zeitpunkt eine ziemlich einzigartige Technik implementiert hat, die in einigen Versionen beobachtet wurde - das Skript führt die PowerShell mit einem '-RemoteSigned'-Parameter als Befehl aus.

Zweite Stufe der Snip3-Operation

In der zweiten Phase geht es hauptsächlich darum, sicherzustellen, dass die Malware nicht in einer virtuellen Umgebung ausgeführt wird. Wenn alles den Erwartungen entspricht, lädt das PowerShell-Skript RUnPE, um die ausgewählte RAT-Nutzlast in einem ausgehöhlten Windows-Prozess reflektierend auszuführen.

Snipe3 ist im Vergleich zu dem in freier Wildbahn üblichen Code mit zusätzlichen Anti-VM-Maßnahmen ausgestattet, die Microsoft Sandbox nicht erkennen können. Um nach potenziellen VMs wie VMWare, VirtualBox oder Windows Sandbox zu suchen, extrahiert das PowerShell-Skript die Herstellerzeichenfolge und vergleicht sie mit einer Liste fest codierter Zeichenfolgen. Um Sandboxie-Umgebungen zu erkennen, versucht die Malware, ein Handle in eine DLL mit dem Namen SbieDll.dll aufzulösen. Wenn eine VM gefunden wird, beendet die Malware ihren Betrieb, ohne die RAT-Nutzdaten bereitzustellen.

Die Bereitstellung einer RAT-Bedrohung

In der letzten Phase des Snip3-Betriebs liefert die Bedrohung eine ausgewählte RAT-Malware an das infizierte System. Der Übermittlungsmechanismus unterscheidet sich von dem, was üblicherweise in anderen Bedrohungskampagnen beobachtet wird. Snip3 verdoppelt seine Verstohlenheit, indem es einen eingebetteten und komprimierten (GZIP) Quellcode enthält, der zur Laufzeit kompiliert wird. Dieser Quellcode scheint eine modifizierte Version der runPE aus einem GitHub-Repository mit dem Namen NYAN-x-CAT zu sein.

Bisher wurde beobachtet, dass mehrere RAT-Bedrohungen von Snip3 als endgültige Nutzlast gelöscht wurden. Am häufigsten sind die bereitgestellten Bedrohungen ASyncRAT oder RevengeRAT . Es gab jedoch Fälle, in denen Snip3-Varianten AgentTesla oder die NetWire-RAT geliefert haben.

Unternehmen sollten die offenbarten IoC (Indicators-of-Compromise) berücksichtigen und die Funktionen von Snip3 berücksichtigen, die es ermöglichen, erkennungsorientierte Lösungen einfach zu umgehen.