Détection de Malware BatLoader : Téléchargeur Évasif en Essor
Table des matières :
Les experts en sécurité avertissent de la présence du logiciel malveillant furtif notoire appelé BatLoader, qui a de plus en plus infecté des instances dans le monde entier au cours des derniers mois. Cette menace notoire agit comme un téléchargeur de logiciels malveillants larguant une variété de charges utiles malveillantes sur les systèmes des victimes. Lors des dernières campagnes, il a été observé que BatLoader livrait des chevaux de Troie bancaires, des échantillons de rançongiciels, des voleurs d’informations, et le kit d’outils post-exploitation Cobalt Strike.
Notamment, BatLoader obtient un ensemble de fonctionnalités d’évasion de détection permettant à la menace de passer inaperçue. Il s’appuie fortement sur des scripts batch et PowerShell pour empêcher les praticiens en cybersécurité de détecter et de bloquer les campagnes malveillantes. La routine d’attaque sophistiquée partage plusieurs similitudes avec le rançongiciel Conti and le cheval de Troie bancaire Zloader..
Détecter l’exécution du malware BatLoader
Avec les opérateurs de malware BatLoader ajoutant constamment de nouveaux tours d’évasion à leurs capacités offensives, les défenseurs cybernétiques cherchent de nouvelles façons d’identifier l’infection à temps dans l’infrastructure de l’organisation. La plus grande et la plus avancée plate-forme mondiale de défense cybernétique collective de SOC Prime propose des règles Sigma toutes nouvelles pour détecter BatLoader. Les deux détections créées par nos développeurs de Threat Bounty avisés, Osman Demir and Sittikorn Sangrattanapitak, sont mappées au framework MITRE ATT&CK® et sont compatibles avec les solutions SIEM, EDR, BDP et XDR leaders de l’industrie. Suivez les liens ci-dessous pour accéder instantanément aux règles Sigma pertinentes et approfondir leur contexte de menace cybernétique :
Suspicious BatLoader Malware Execution by Use of Powershell (via cmdline)
Cette règle Sigma développée par Osman Demir détecte l’exécution du malware BatLoader via une commande Powershell malveillante. La détection traite la tactique d’exécution avec la technique correspondante Command and Scripting Interpreter (T1059).
Exécution possible de malware BatLoader par l’outil Gpg4Win (via création de processus)
Le contenu mentionné ci-dessus créé par Sittikorn Sangrattanapitak détecte le déploiement de Gpg4win pour déchiffrer des charges utiles malveillantes via le malware BatLoader. Cette règle Sigma traite la tactique d’exécution avec l’exécution de l’utilisateur (T1204) et Command and Scripting Interpreter (T1059) utilisé comme ses principales techniques.
Les chasseurs de menaces et ingénieurs en détection, qu’ils soient novices ou aguerris, soucieux d’affiner leurs compétences Sigma et ATT&CK et d’aider les autres à se défendre contre les menaces émergentes peuvent puiser dans le programme Threat Bounty Programde SOC Prime. En rejoignant cette initiative de crowdsourcing, les experts en cybersécurité peuvent écrire leurs propres règles Sigma mappées à ATT&CK, les partager avec la communauté mondiale de défenseurs cybernétiques, et recevoir des paiements récurrents pour leurs contributions.
Pour atteindre instantanément des règles Sigma pour la détection de BatLoader, il suffit de cliquer sur le bouton Explore Detections . Explorez le contexte complet de menace cybernétique, y compris les références MITRE ATT&CK, le renseignement de menace, les binaires exécutables, et les atténuations pour une recherche de menace rationalisée.
Analyse de BatLoader
Révélé et analysé par Mandiant en février 2022, BatLoader continue d’évoluer, ce qui pose une menace significative pour les praticiens en cybersécurité.
La dernière enquête par VMware Carbon Black révèle que le malware BatLoader exploite un certain nombre de fonctionnalités sophistiquées pour infecter discrètement des victimes sans méfiance et déposer des charges utiles de second niveau sur leurs machines. Parmi les dernières victimes de BatLoader, on trouve des organisations dans les services aux entreprises, la finance, la fabrication, l’éducation, la vente au détail, l’IT, et les secteurs de la santé.
Principalement, les opérateurs de BatLoader s’appuient sur l’empoisonnement du référencement (SEO) pour rediriger les victimes vers de faux sites Web et les pousser à télécharger le malware. Par exemple, dans l’une des dernières campagnes BatLoader , les victimes ont été incitées à visiter de fausses pages de téléchargement pour des logiciels populaires, tels que LogMeIn, Zoom, TeamViewer, et AnyDesk. Les opérateurs de logiciels malveillants ont poussé des liens vers ces pages Web malveillantes via de fausses publicités activement montrées dans les résultats des moteurs de recherche. L’utilisation de binaires natifs rend la détection et le blocage de la campagne une tâche difficile, surtout aux premiers stades du développement de l’attaque.
Suite à l’infection, BatLoader s’appuie sur des scripts batch et PowerShell pour obtenir un premier accès au réseau de la victime. Notamment, BatLoader dispose d’une logique intégrée permettant d’identifier si la machine ciblée est soit d’entreprise ou personnelle et de déposer des charges utiles de second niveau correspondantes dans chaque cas. Pour les environnements d’entreprise, BatLoader applique généralement des outils d’intrusion, tels que Cobalt Strike et l’utilitaire de surveillance et de gestion à distance Syncro, tandis que si le malware s’installe sur un ordinateur personnel, il procède au vol d’informations et aux charges utiles de chevaux de Troie bancaires.
Notamment, il est observé que les campagnes BatLoader partagent certaines similitudes avec d’autres échantillons malveillants célèbres, notamment le rançongiciel Conti et le cheval de Troie bancaire Zloader. Les chevauchements avec Conti incluent l’utilisation des mêmes adresses IP que Conti a appliquées pour ses campagnes Log4j et l’utilisation d’un outil de gestion à distance Atera. Et avec Zloader, le malware partage les mêmes astuces d’infection, principalement l’utilisation de techniques d’empoisonnement SEO, de scripts PowerShell & batch, et d’autres binaires OS natifs.
Soyez en avance sur les attaquants et détectez de manière proactive les menaces notoires avec les règles Sigma validées dans la plate-forme SOC Prime. Les détections pour les menaces actuelles et émergentes sont à portée de main ! Explorez plus sur https://socprime.com/.
