- 20,415
- 46
- 8 Ноя 2022
Хакеры заставят вас собственноручно добавить их в исключения антивируса.
Специалисты eSentire сообщили об обнаружении новой ботнет -сети под названием NightshadeC2, которая использует нестандартные методы для обхода защиты и песочниц. Вредонос распространяется через поддельные версии легитимных программ — таких как CCleaner, Express<span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">VPN</span>, Advanced IP Scanner и Everything — а также через схему ClickFix, где жертве предлагают ввести команду в окно «Выполнить» после прохождения фальшивой капчи.
Главная особенность NightshadeC2 — приём, названный специалистами «бомбардировка UAC» (UAC Prompt Bombing). Загрузчик запускает PowerShell-скрипт , который пытается добавить вредонос в список исключений Windows Defender. Если пользователь отказывается подтвердить действие через системный запрос UAC, окно появляется снова и снова, мешая пользоваться компьютером до тех пор, пока пользователь не согласится. Этот метод также эффективно мешает запуску вредоноса в песочницах: если служба Defender отключена, скрипт зависает в цикле, и полезная нагрузка не исполняется. Это позволяет обходить такие среды анализа, как Any.Run, CAPEv2 и Joe Sandbox.
Основная вредоносная нагрузка NightshadeC2 написана на языке C, но обнаружены и упрощённые Python-версии, предположительно сгенерированные при помощи ИИ. C-вариант использует порты 7777, 33336, 33337 и 443, а Python — порт 80. Заражённый файл, замаскированный под <code>updater.exe</code>, после запуска собирает информацию о системе и внешнем IP, использует шифрование RC4 для связи с командным сервером и устанавливает устойчивость в системе через ключи реестра <code>Winlogon</code>, <code>RunOnce</code> и <code>Active Setup</code>.
NightshadeC2 обладает широким набором функций, позволяющим злоумышленникам полностью контролировать заражённую систему. Вредонос обеспечивает удалённый доступ через реверс-оболочку , запуская скрытые сессии PowerShell или командной строки, умеет загружать и выполнять дополнительные файлы в формате DLL или EXE, а также при необходимости удаляет себя с устройства.
NightshadeC2 поддерживает полноценное дистанционное управление, включая создание скриншотов и эмуляцию действий пользователя, а также может запускать скрытые браузеры — Chrome, Edge, Firefox и Brave — на отдельном рабочем столе. Кроме того, NightshadeC2 фиксирует нажатия клавиш и изменения в буфере обмена, а также способен извлекать пароли и куки из установленных браузеров, работающих на движках Chromium и Gecko.
Данные пользователя сохраняются в скрытых файлах, названия которых зависят от уровня прав (например, <code>JohniiDepp</code> и <code>LuchiiSvet</code>). Кейлоггер использует скрытое окно и стандартные WinAPI-хуки для захвата нажатий клавиш и содержимого буфера обмена. Злоумышленники могут управлять заражённой системой: копировать и вставлять текст, эмулировать ввод, запускать браузеры или системные окна на скрытом рабочем столе. Некоторые варианты NightshadeC2 получают адрес управляющего сервера прямо из профиля в Steam — это позволяет менять C2 без обновления самого вредоноса.
Также были выявлены два способа обхода контроля учётных записей (UAC) . Один использует старую уязвимость в RPC-сервере, другой — встроен в загрузчик и активируется на системах до Windows 11. Во втором случае используется связка из <code>reg</code> и <code>schtasks</code>, которая запускает вредонос с повышенными правами без участия пользователя и добавляет его в исключения Windows Defender.
Для защиты специалисты рекомендуют отключить окно "Выполнить" через GPO (раздел меню «Пуск и панель задач»), обучать сотрудников распознаванию фишинга и социальной инженерии, а также использовать современные EDR- или NGAV-решения, способные выявлять нестандартное поведение вредоносных программ .
По словам исследователей, NightshadeC2 — это универсальный инструмент с возможностями бэкдора, шпионажа и скрытого контроля, а используемая техника UAC-бомбы — простой, но эффективный способ обхода как пользовательской защиты, так и автоматизированного анализа.
Специалисты eSentire сообщили об обнаружении новой ботнет -сети под названием NightshadeC2, которая использует нестандартные методы для обхода защиты и песочниц. Вредонос распространяется через поддельные версии легитимных программ — таких как CCleaner, Express<span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">VPN</span>, Advanced IP Scanner и Everything — а также через схему ClickFix, где жертве предлагают ввести команду в окно «Выполнить» после прохождения фальшивой капчи.
Главная особенность NightshadeC2 — приём, названный специалистами «бомбардировка UAC» (UAC Prompt Bombing). Загрузчик запускает PowerShell-скрипт , который пытается добавить вредонос в список исключений Windows Defender. Если пользователь отказывается подтвердить действие через системный запрос UAC, окно появляется снова и снова, мешая пользоваться компьютером до тех пор, пока пользователь не согласится. Этот метод также эффективно мешает запуску вредоноса в песочницах: если служба Defender отключена, скрипт зависает в цикле, и полезная нагрузка не исполняется. Это позволяет обходить такие среды анализа, как Any.Run, CAPEv2 и Joe Sandbox.
Основная вредоносная нагрузка NightshadeC2 написана на языке C, но обнаружены и упрощённые Python-версии, предположительно сгенерированные при помощи ИИ. C-вариант использует порты 7777, 33336, 33337 и 443, а Python — порт 80. Заражённый файл, замаскированный под <code>updater.exe</code>, после запуска собирает информацию о системе и внешнем IP, использует шифрование RC4 для связи с командным сервером и устанавливает устойчивость в системе через ключи реестра <code>Winlogon</code>, <code>RunOnce</code> и <code>Active Setup</code>.
NightshadeC2 обладает широким набором функций, позволяющим злоумышленникам полностью контролировать заражённую систему. Вредонос обеспечивает удалённый доступ через реверс-оболочку , запуская скрытые сессии PowerShell или командной строки, умеет загружать и выполнять дополнительные файлы в формате DLL или EXE, а также при необходимости удаляет себя с устройства.
NightshadeC2 поддерживает полноценное дистанционное управление, включая создание скриншотов и эмуляцию действий пользователя, а также может запускать скрытые браузеры — Chrome, Edge, Firefox и Brave — на отдельном рабочем столе. Кроме того, NightshadeC2 фиксирует нажатия клавиш и изменения в буфере обмена, а также способен извлекать пароли и куки из установленных браузеров, работающих на движках Chromium и Gecko.
Данные пользователя сохраняются в скрытых файлах, названия которых зависят от уровня прав (например, <code>JohniiDepp</code> и <code>LuchiiSvet</code>). Кейлоггер использует скрытое окно и стандартные WinAPI-хуки для захвата нажатий клавиш и содержимого буфера обмена. Злоумышленники могут управлять заражённой системой: копировать и вставлять текст, эмулировать ввод, запускать браузеры или системные окна на скрытом рабочем столе. Некоторые варианты NightshadeC2 получают адрес управляющего сервера прямо из профиля в Steam — это позволяет менять C2 без обновления самого вредоноса.
Также были выявлены два способа обхода контроля учётных записей (UAC) . Один использует старую уязвимость в RPC-сервере, другой — встроен в загрузчик и активируется на системах до Windows 11. Во втором случае используется связка из <code>reg</code> и <code>schtasks</code>, которая запускает вредонос с повышенными правами без участия пользователя и добавляет его в исключения Windows Defender.
Для защиты специалисты рекомендуют отключить окно "Выполнить" через GPO (раздел меню «Пуск и панель задач»), обучать сотрудников распознаванию фишинга и социальной инженерии, а также использовать современные EDR- или NGAV-решения, способные выявлять нестандартное поведение вредоносных программ .
По словам исследователей, NightshadeC2 — это универсальный инструмент с возможностями бэкдора, шпионажа и скрытого контроля, а используемая техника UAC-бомбы — простой, но эффективный способ обхода как пользовательской защиты, так и автоматизированного анализа.
- Источник новости
- www.securitylab.ru
