U svetu digitalnog podzemlja, malo koja roba je toliko vredna kao ukradeni podaci neke kompanije. Softveri za krađu informacija ili popularno "infostealeri", koriste se kao tools-of-the-trade u ovoj oblasti ilegalnih aktivnosti.

Oni nisu alati poput ransomvera, koji pokušvaju da osakate čitav sistem i onemoguće mu rad dok se ne odplati tražena suma, već precizni alati dizajnirani za jednu svrhu: da tiho i efikasno izvuku vaše poverljive podatke.

U The Free Security-u, naš tim svakodnevno istražuje kako ove pretnje evoluiraju u sofisticirane platforme za prikupljanje podataka. Ovaj blog post zalazi u životni ciklus infostealera, od početne infekcije sistema, pa sve do eksfiltracije podataka, kako bismo vam što bolje objasnili o kakvim pretnjama je reč.

Infekcija sistema (Delivery)

Životni ciklus infostealera počinje isporukom (delivery), gde napadači imaju veoma širok i robustan set alata.

  • Najčešći tip kod ranijih verzija je bio tzv. dropper, maliciozni izvršni fajl koji je u sebi sadržao kompresovani glavni payload, često prerušen u krekovani softver ili legitimni dokument.

  • Nakon izvršavanja, payload se raspakivao i infostealer bi bio instaliran na sistem.

  • S obzirom na veoma velik i očigledan digitalni otisak, ovaj vid malvera prilično lako detektuje svaki mainstream AV provajder danas.

Trenutno, tehnike instaliranja bez korišćenja fajlova (fileless), gde se malware nikad ni ne zapisuje na disk su standard. Izvršni kod živi isključivo u memoriji, koristeći već prisutne sistemske alate poput PowerShell-a ili Windows Management Instrumentation (WMI) za izvršavanje svog payload-a.

Ovaj LoTL (living-off-the-land) pristup čini detekciju neverovatno teškom za tradicionalna antivirusna rešenja, jer je jako teško uočiti razliku između legitimne administracione aktivnosti i malicioznog ponašanja.

Prikupljanje podataka (Harvest)

Nakon što se instalira na sistem, infostealer započinje prikupljanje podataka.

Njegove primarne mete su veb browser-i, gde alat pokušava da izvuče sačuvane lozinke, podatke koji su sačuvani za automatsko popunjavanje (autofill), kolačiće i sačuvane informacije o kreditnim karticama. Alat (u najgorem slučaju) to radi lociranjem i (optimizovanim) brute-force dekriptovanjem lokalnih DB fajlova pretraživača.

Međutim, na Windows mašinama, moguće je preuzeti master key direktno iz LSASS procesa, čime se zaobilaze enkriptovane SQLite baze a u novijm verzijama Chrome-a i Edge-a, gde su DB fajlovi zaštićeni AES-om sa ključevima unutar DPAPI-ja, ovo omogućava dekodiranje bez pristupa file sistemu.

Interesantan je i pristup kod hook-ovanja CryptUnprotectData, ReadProcessMemory i HttpSendRequestW WinAPI funkcija što omogućava otkrivanje lozinki, tokena i kolačića u trenutku korišćenja, takođe bez interakcije sa diskom.

Moderni infostealer-i poput RedLine-a ili Vidar-a koriste manifest parsing da otkriju gde se tačno nalaze korisničke datoteke keystore-a, čak i kod portable varijanti wallet ekstenzija.

Pored svega navedenog, targetiraju se i:

  • VPN klijenti (NordVPN, OpenVPN certifikati)

  • Chat aplikacije (Discord, Telegram session keys)

  • AWS CLI/Google Cloud CLI token fajlovi

  • GitHub SSH privatni ključevi i PAT tokeni

Kompromitovanje zadnja četiri artefakta je posebno opasno jer omogućavaju preuzimanje DevOps ili cloud naloga bez potrebe za dodatnom eskalacijom.

Izvoz podataka

Nakon prikupljanja, podaci se stage-uju u memoriji kompromitovane mašine. Isti se pakuju i kompresuju korišćenjem brotli, zstd ili custom XOR+LZ algoritma pre nego što se išta pošalje.

Pošto stealer mora da ih prebaci na drugi sistem bez podizanja bilo kakvih AV ili SIEM alert-ova, iako neki infostealeri i dalje koriste direktnu komunikaciju sa Command-and-Control (C2) serverom preko HTTP/HTTPS, to nije najbolja opcija za napadača jer su SIEM/XDR sistemi postali veoma dobri u uočavanju ovakve komunikacije.

U skorije vreme, često viđamo da se podaci usmeravaju preko legitimnih cloud aplikacija poput Discorda, Telegrama ili platformi za razmenu fajlova kao što je Google Drive. Softver šalje ukradene podatke u privatni kanal ili folder putem javnog API-a aplikacije, efektivno stapajući ukradene podatke unutar legitimnog internet saobraćaja.

  • Neke varijante embed-uju podatke u PNG fajlove i šalju ih na Imgur, Pastebin privatne paste-ove ili čak Medium draft postove (kao plaintext blokove).

  • Takođe, da bi izbegli anomaly-based detekciju implementira se sporije slanje podataka (< 30kbps), random sleep intervali (20–200s) i imitacija legit HTTP zaglavlja (Chrome 123 ili Edge 119 signature).

  • Uočene su i metode korišćenja CDN maski poput Cloudflare, Akamai ili Fastly kako bi se C2 komunikacija prikazala kao legitimni TLS saobraćaj ka popularnim domenima (npr. ajax.googleapis.com), a zapravo se tunelira ka C2 serveru.

Eskalacija i održavanje pristupa (Post-Delivery Tradecraft)

Savremeni infostealeri retko se zaustavljaju samo na jednom prikupljanju podataka (grab-n-go). Kako bi omogućili duže prisustvo na sistemu i povećali vrednost kompromitovanog host-a, mnoge varijante implementiraju mehanizme za eskalaciju privilegija i perzistenciju (ephemeral persistence).

Umesto klasičnog upisa u Run registry key ili kreiranja Windows servisa (tehnike koje generišu mnogo SIEM i EDR alert-a), u modernim infostealer-ima koriste se:

  1. COM hijacking - kreiranje malicioznih COM objekata u HKCU\Software\Classes\CLSID\..., što omogućava procesima da pozivaju API malvera kroz potpuno legitimne COM pozive.

  2. WMI permanent event subscribers - kreiranje __EventFilter + CommandLineEventConsumer objekata, obično u root\subscription, koji aktiviraju malver pri pojavi određenog event-a (logon, network reconnect, execution of a particular binary...).

  3. DLL search order hijacking - iskorišćavanje loše konfigurisanih aplikacija koje učitavaju DLL-ove bez normalizacije na apsolutnu putanju. Zlanamerni DLL se jednostavno učita pre legitimnog DLL-a.

  4. API unhooking i PPID spoofing - sakrivanje tragova putem patchovanja EDR hook-ova u ntdll.dll, kao i pokretanje malvera sa lažno prikazanim parent procesom (npr. podsistem koji izgleda kao explorer.exe ili svchost.exe).

Ovi mehanizmi dramatično otežavaju detekciju jer zaobilaze heuristiku baziranu na ponašanju procesa.

Treba naglasiti i da većina modernih infostealera funkcioniše kao Malware-as-a-Service (MaaS) gde tim developera održava glavni repozitorijum koda i hosting infrastrukturu. Kupci (affiliates) preko UI panela dobijaju build generator, enkriptor/packer funkcionalnosti, prikaz statistike (broj zaraženih host-ova, geolokacijsku vizuelizaciju zaraženih host-ova...), rezne plug-in module (kripto wallet, FTP credential stealer, RDP credential extractor) zavisno od paketa koji su platili.

Zbog ovog biznis modela je razvoj novih funkcionalnosti ekstremno brz, alat se ažurira na nedeljnom nivou dok plugin-i za detekciju kasne mesecima.

Svi ukradeni podaci se sortiraju automatski u bucket-e:

  • email lozinke

  • PayPal

  • bankarske informacije

  • kripto

  • korporativni nalozi

  • developer nalozi

  • cloud provider nalozi

Kako da se zaštitite

Razumevanje tehničkih aspekata ovih pretnji je prvi korak u izgradnji efikasne odbrane.

  1. Oslanjanje isključivo na tradicionalni antivirus zasnovan na signature-based detekciji više nije dovoljno.

  2. Savremeni sistemi za monitoring moraju uključivati behavioralno praćenje kroz EDR (Endpoint Detection and Response) platforme koje mogu da označe sumnjivu, aktivnost u izvršavanju native script koda koji je indikator fileless malware-a.

  3. Mrežno praćenje mora biti dovoljno pametno da otkrije anomalije u odlaznim tokovima podataka, čak i prema naizgled legitimnim cloud uslugama.

  4. Dalje, sprovodenje principa najmanjih privilegija (LPaNTK - Least Privilege and Need-To-Know) može dramatično da smanji posledice krađe kredencijala, sprečavajući da kompromitacija lokalnog korisnika rezultuje preuzimanjem potpune kontrole nad mašinom ili internom mrežom.

Pretnja od infostealer-a predstavlja realnu opasnost za organizacije svih veličina. Zalaženjem dublje u njihov rad ispod haube, možemo osmisliti efikasne odbrambene strategije.

U The Free Security-u, posvećeni smo da uvek budemo korak ispred ovih pretnji, razvijajući alate, metode i stručnost naših inženjera, neophodne da zaštitimo ono što je najvažnije - vaše podatke.

Tags: Malware Research