I cyber criminali stanno attivamente sfruttando il malware BatCloak, che agisce in modalità completamente non rilevabile (fully undetectable, FUD) grazie al motore di offuscamento, dal settembre 2022.
La sua peculiarità principale è quella di “conferire al codice malevolo caratteristiche di evasione ai principali antivirus”, spiega Pierluigi Paganini, analista di cyber security e CEO Cybhorus.
“I numerosi file batch, opportunamente offuscati”, spiega Antonio Minnella, Exprivia Security Specialist, “permettevano la distribuzione di malware che agivano in modalità fully undetectable (FUD) cioè assolutamente non rilevabili da parte dei sistemi antivirus/antimalware anche più evoluti”.
Per riuscire nell’intento, continua Minnella, “gli attori malevoli, si sono serviti del motore di offuscamento BatCloak, in grado di offuscare il malware e garantire un alto livello di evasione”. Obiettivo di un malware FUD è quello di “permettere, agli attori della minaccia, di poter agire il più a lungo possibile sui sistemi vittime dell’attacco, senza che questi venga rilevato”, osserva l’esperto di cyber security. Ecco come si raggiunge lo stato di FUD.
Indice degli argomenti
FUD BatCloak Engine: capace di evadere ai principali antivirus
“Fully undetectable (FUD) malware obfuscation engine come BatCloak”, continua Pierluigi Paganini, “sono componenti essenziali nel ciclo di sviluppo di un malware” dotato di queste caratteristiche: saper evadere ai principali antivirus.
I campioni garantiscono ai “threat actor la capacità di caricare numerose famiglie di malware ed exploit con facilità, mediante file batch molto offuscati” spiegano i ricercatori di Trend Micro.
“Negli ultimi anni nell’underground criminale, packer e malware obfuscation engine, come quello in esame, sono divenuti servizi essenziali per il successo di campagne malware”, sottolinea Paganini.
“In un’ottica di implementazione di un modello di cybercrime-as-a-service”, aggiunge l’esperto di cyber security, “queste componenti sono diventate disponibili alla collettività criminale pagando cifre trascurabili se comparate ai possibili proventi di un’efficace e massiva campagna malware”.
Il 79,6% del totale dei 784 reperti rinvenuti non viene rilevata da tuttw le soluzioni di sicurezza, a causa della capacità di BatCloak di aggirare i tradizionali meccanismi di detection.
Il raggiungimento dello stato di FUD
“Attraverso la combinazione di diverse tecniche quali l’offuscamento e la crittografia, operazioni che vengono ripetute più volte durante la fase di produzione del malware, è possibile raggiungere lo stato di FUD”, avverte Antonio Minnella.
“Scovare pezzi di codice offuscati che godono di queste proprietà ed etichettarli come codice malevolo è possibile solo eseguendo un’accurata analisi statica e dinamica del software, continua l’esperto di Exprivia: “Viene quindi facile immaginare quanto sia desiderabile, per gli attori malevoli, raggiungere tale obiettivo”.
Il tool chiamato Jlaive
“Ad agevolare i malintenzionati, nel raggiungere questo ambizioso obiettivo, è stato già nel 2022 un tool chiamato Jlaive, che ha iniziato a circolare tra gli hacker e ha permesso di creare file eseguibili .bat capaci di eludere i principali sistemi di sicurezza”, riporta Minnella: “La communit, nel corso del tempo, ha successivamente adottato questo tool, lo ha supportato e migliorato. Lo scorso settembre, lo sviluppatore di Jlaive, ha rilasciato pubblicamente i sorgenti sui repository di GitLab e GitHub: un nuovo offuscatore che permette di generare eseguibili in formato .exe capaci di eludere la sicurezza di Windows Defender”. Il nuovo pacchetto evidenza “l’utilizzo della crittografia AES e delle tecniche per bypassare l’ AMSI (AntiMalware Scan Interface), sviluppato in linguaggio C#”, evidenzia Minnella.
Le altre caratteristiche
Offre “funzionalità avanzate di auto debugging, autocancellazione e una serie di funzionalità che gli permettono di lavorare in modalità stealth”, afferma Minnella. “Anche se attualmente non è disponibile sui repository GitHub e GitLab e il profilo dell’utente-autore è cancellato, la sua diffusione tra le community hacker ha fatto sì che si evolvesse in decine di customizzazioni e si diffondesse tra i vari canali di comunicazione trafficati dagli attori malevoli”, aggiunge Minnella, spiegando che “alcuni metodi di distribuzione sono tuttora attivi“.
Le varianti
Malware già noti hanno “inglobato direttamente alcune varianti, consentendo a Jlaive di distribuire il software malevolo in maniera più efficace, grazie appunto alla capacità di FUD”, avverte Antonio Minnella “Entrando nel dettaglio del funzionamento di Jlaive, analizziamo gli step che vengono eseguiti quando viene lanciato il comando di build:
- specificato il file di input, prevede il passaggio ad una funzione di cifratura in Base-64 insieme ad una chiave e ad un vettore di inizializzazione, frutto di generazione casuale;
- la funzione di cifratura comprime il payload con la libreria GZipStream e lo cifra, utilizzando l’algoritmo AES con cifratura CBC;
- il loader richiede più step, in ognuno dei quali sfrutta tecniche di offuscamento e crittografia differenti;
- il payload principale compresso e pluri-criptato permette di costruire il payload binario, che prevede l’inserimento nel payload principale e la rinomina in payload.exe”.
“Una classe chiamata Stub.cs ha generato in c# il loader binario. Grazie all’uso della libreria Nettitudes RunPE (runpe.dll), opportunamente modificata, può essere generato l’eseguibile che permette di mantenere in memoria il payload e di lanciare più eseguibili all’interno dello stesso processo“, osserva Minnella. “La libreria, opportunamente modificata, permette inoltre di mappare manualmente il file in memoria (senza ricorrere al loader di Windows), di autorizzare il caricamento silente di tutte le dipendenze richieste dall’eseguibile, il ripristino della memoria, lo scarico delle dipendenze, la rimozione delle patch e la pulizia degli artefatti in memoria, dopo l’esecuzione”. L’autore di Jlaive ha contribuito, in maniera proficua con adattamenti e miglioramenti, al motore di BatCloak, “fornendo anche le funzionalità di FUD ad altri progetti, tra cui: CryBat, Exe2Bat, SeroXen e ScrubCrypt”.
Il caso ScrubCrypt
“Proprio ScrubCrypt è la versione più recente del motore BatCloak”, illustra Minnella, “e contiene ulteriori evoluzioni riguardo le tecniche di offuscamento del batch. Lo stesso autore infatti è passato dalla modalità free ed open-source al modello premium, probabilmente per monetizzare, a seguito del lungo lavoro e per tentare di proteggere il progetto da cloni non autorizzati”.
“Quest’ultima versione contiene ulteriori miglioramenti tra cui:
- bypass del controllo utente (UAC);
- anti debugging;
- AMSI (AntiMalware Scan Interface) bypass;
- bypass dell’ETW (event tracking di Windows).
Lo hanno già impiegato distribuzioni di malware ben noti tra cui: Amadey botnet, DCRAT (aka DarkCrystal), Eagle Monitor RAT, QuasarRAT, Remcos RAT, VenomRAT e Warzone RAT per citarne alcuni”.
L’interazione permette dunque di evidenziare “sia la modularità intrinseca del motore che l’abilità di interagire con una varietà di malware pre esistenti, garantendo una più rapida diffusione degli stessi”, evidenzia Minnella.
“Grazie alla sua flessibilità e alle abilità con cui lo hanno sviluppato, riesce ad ottenere la non rilevabilità (FUD) da parte degli antivirus. Ciò rappresenta una minaccia completa ed imminente e fa capire quanto, ancora una volta, gli attori malevoli stiano alzando il tiro nella offensive security”, conclude Antonio Minnella
.
Come mitigare il rischio di FUD BatCloak Engine
Poiché “continueremo ad osservare un fiorente mercato incentrato sullo sviluppo e la vendita di queste componenti software”, secondo Paganini, bisogna correre ai ripari. “La domanda in crescita”, infatti, “fungerà inevitabilmente da volano allo sviluppo di nuovi motori per l’offuscamento dei codici malevoli ed il potenziamento delle capacità di evasione di quelli esistenti”, conclude Paganini.
ScrubCrypt, frutto della transizione da un framework open source a un modello closed-source, per esempio è ideato per essere interoperabile con varie famiglie di malware ben note come Amadey, AsyncRAT, DarkCrystal RAT, Pure Miner, Quasar RAT, RedLine Stealer, Remcos RAT, SmokeLoader, VenomRAT e Warzone RAT.
Per mitigare il rischio, bisogna effettuare l’aggiornamento costante della definizione dei rilevamenti sul programma di protezione che si usa. Occorre adottare, di volta in volta, i nuovi indicatori di compromissione che i ricercatori rilasciano pubblicamente. Nella ricerca in questione, per esempio, il rilascio riguarda indirizzi IP, URL sfruttati per diffondere i payload, Hash dei file compromessi e nomi di file più usati.
