Шкідливий бекдор Pikabot є модульним із завантажувачем і основним компонентом, який реалізує більшість функцій. Використовується низка методів антианалізу, що ускладнює виявлення шкідливої діяльності.
Аналіз виявив схожість із Qakbot з точки зору режиму розповсюдження, кампаній і поведінки зловмисного програмного забезпечення, не вказуючи, чи є вони тими самими авторами зловмисного програмного забезпечення. Він здатний отримувати команди від командно-контрольного сервера, який вставляє будь-який шелл-код, DLL або виконуваний файл.
Шкідлива функціональність
Після початкового зараження завантажувачем модуль ядра реалізує шкідливу функціональність, яка включає можливість виконувати довільні команди та вводити фактичне корисне навантаження. Він використовує інжектор коду, який розшифровує основний модуль. Вони використовують низку методів антианалізу, наприклад функцію Windows API Beep для затримки виконання, функцію Windows API CheckRemoteDebuggerPresent або перезавантаження помилкових бібліотек для виявлення пісочниці. Крім того, запитується системна інформація, наприклад пам’ять або кількість процесорів. Крім того, загальнодоступний інструмент ADVobfuscator використовується для обфускації важливих рядків шкідливого програмного забезпечення. Якщо тести антианалізу не вдасться, Pikabot припинить роботу.
Під час перезавантаження основних модулів Pikabot діє наступним чином: спочатку завантажується набір зображень png, що зберігаються в області ресурсів. Вони декодуються за допомогою побітової операції XOR. Кожне із зображень містить зашифровану частину основного модуля. 32-байтовий ключ використовується для дешифрування коду через AES (режим CBC), причому перші 16 байтів зашифрованих даних використовуються як вектор ініціалізації. Після розшифровки основного корисного навантаження інжектор Pikabot створює процес через шлях даних, наприклад WerFault, і вводить основний модуль.
затримка у виконанні
Подібно до інжектора, базовий модуль також покладається на додаткові перевірки антианалізу, такі як «функція сну» для затримки виконання. Це включає функцію API NtContinue з таймером для активації. На додаток до цих тестів записується мова зараженої системи. Якщо виявлено одну з наступних мов, подальше виконання припиняється: грузинська, казахська, узбецька, таджицька, російська, українська, білоруська або словенська. Такий підхід часто спостерігається серед суб’єктів загрози з країн СНД, щоб уникнути кримінального переслідування. Після завершення процесу завантаження Pikabot реєструє скомпрометований хост на сервері команд і керування, використовуючи зібрану системну інформацію. Як і в інших ботнетах, створюється унікальний ідентифікатор. Після завершення реєстрації Pikabot починає свою діяльність із запитів до сервера.
Більше на Zscaler.com
Про Zscaler Zscaler прискорює цифрову трансформацію, щоб клієнти могли стати більш гнучкими, ефективними, стійкими та безпечними. Zscaler Zero Trust Exchange захищає тисячі клієнтів від кібератак і втрати даних, безпечно підключаючи людей, пристрої та програми будь-де. Zero Trust Exchange на базі SSE є найбільшою у світі вбудованою хмарною платформою безпеки, розподіленою в понад 150 центрах обробки даних по всьому світу.