2021-ben a Lazarus Group mérgezett Visual Studio -projektekkel támadta meg a biztonsági kutatókat. 2024-ben typosquatting segítségével rosszindulatú csomagokat helyeztek el a PyPI-n. Egy legalább 2025 márciusa óta folyó kampányban pedig a csoport áttért a célzott adathalász-csalogatókra, amelyek az Edge Group, az IIT Kanpur és az Airbus nevében jelentek meg, és az űrhajózási és védelmi szervezeteket vették célba.
A terjesztési módszer változik, de az alapul szolgáló stratégia nem. A csoport Comebacker hátsóajtójának minden egyes változata ugyanarra a behatolási pontra támaszkodik: egy olyan fájlra, amelyet a felhasználó megnyit és megbízhatónak tart. Az ENKI legújabb elemzése részletesen bemutatja ezt a legújabb Comebacker-változatot, és jelentős technikai fejlődést tár fel.
A dropper a korábbi verziókban található RC4-es vagy HC256-os titkosítás helyett most egy egyedi XOR/bitcserélő algoritmust használ. A betöltő szakaszok átálltak a ChaCha20 titkosításra. Emellett a parancs- és vezérlő forgalom először kerül titkosításra AES-128-CBC-vel, így felhagyva a nyílt szöveges kommunikációval, amely a korábbi változatok esetében megkönnyítette a lehallgatást.
Ezek a változtatások mindegyike arra irányul, hogy kijátszák az aláírásalapú észlelést, és egyike sem jelent problémát, ha a rosszindulatú fájl eleve nem jut el a felhasználóhoz. Azoknál a szervezeteknél, amelyek titkos programokkal, ITAR-szabályozás alá tartozó adatokkal vagy küldetéskritikus OT-rendszerekkel foglalkoznak, egyetlen megfertőzött munkaállomás is láncreakciót indíthat el, amely az ellátási lánc egészét érintő incidenshez vezethet.
Ez a cikk azt vizsgálja, hogyan működik a Comebacker fertőzési lánca, miért nem tudnak ellene felvenni a harcot a hagyományos védelmi megoldások, és hogy az e-mail átjárón, a cserélhető adathordozók határán, valamint az ezek közötti minden behatolási ponton alkalmazott, megelőzésre fókuszáló fájlbiztonsági rendszer hogyan semlegesíti a fenyegetést, függetlenül attól, hogy a kártékony kód milyen módon van álcázva.
Hogyan kerülik ki a fájlokon keresztül érkező támadások a külső védelmi vonalakat
Az olyan nemzetállami szereplők, mint a Lazarus Group, az e-maileket és a cserélhető adathordozókat használják ki, mivel az űrhajózási és védelmi szervezetek ezekre a csatornákra támaszkodnak a fájlok hálózatok közötti továbbításához. A Comebacker-t az teszi nehezen felderíthetővé, ami a kézbesítés után történik. A dokumentum első ránézésre legitimnek tűnik, de megnyitásakor elindít egy többlépcsős végrehajtási láncot, amelyet úgy terveztek, hogy rejtve maradjon.
A „Comebacker”-típusú kampányok fő bevezető pontjai
E-mail:
Fegyverként használt mellékletek, amelyek beszállítói szerződéseknek, projektfrissítéseknek vagy számláknak álcázzák magukat. Az ENKI négy .docx formátumú csali-dokumentumot azonosított, amelyek az Edge Group, az IIT Kanpur és az Airbus nevét használták fel egy legalább 2025 márciusa óta folyó kampányban.
Kiegészítő adathordozók:
A szoftverfrissítések vagy karbantartási ciklusok során a mérnöki vagy gyártási hálózatokba bekerülő fertőzött USB vagy hordozható lemezek.
Egy VBA-makró egy egyedi XOR/bitcserélő algoritmus segítségével visszafejt egy betöltőprogramot és egy meggyőző álcázó dokumentumot. A betöltőprogram a ChaCha20 algoritmus segítségével több titkosított lépésen keresztül fut. A végső hátsóajtó teljes egészében a memóriában fut, így nem hagy hátra a lemezen olyan nyomokat, amelyeket a végpont-ellenőrző eszközök felderíthetnének.
Mire a hátsó ajtó kapcsolatba lép a szerverrel, az összes parancs- és vezérlő forgalom már AES-128-CBC titkosítással van ellátva, így a normál HTTPS-forgalomba olvad. A hagyományos hálózati védelmi eszközök azt látják, hogy a felhasználó megnyit egy dokumentumot, és titkosított webes forgalmat generál, de ez a folyamat semmilyen riasztást nem vált ki.
A Lazarus Group párhuzamos változatokat futtat különböző kriptográfiai megvalósításokkal: az egyik láncban ChaCha20-at, a másikban HC256-ot használ, mindkettő azonos hátsóajtó-funkcióval. Az egyikre írt észlelési szignatúra nem fogja felismerni a másikat. Ez a legfőbb probléma, ha kizárólag az észlelésre támaszkodunk. A támadók ugyanis kifejezetten úgy alakítják ki a kártékony kódjaikat, hogy azok elkerüljék az észlelést.
A rosszindulatú programok semlegesítése még a futásuk előtt
Mit lehet tehát tenni egy olyan fenyegetéssel, amelyet kifejezetten az észlelés elkerülésére terveztek? Az egyik lehetőség az, hogy további észlelési rétegeket, motorokat, szignatúrákat és viselkedési szabályokat vezetünk be. Ez ugyan segít, de a támadók máris olyan kártevő programokat fejlesztenek, amelyek képesek kijátszani ezt a modellt. A másik lehetőség az, hogy elkezdjük eltávolítani azokat az elemeket, amelyek egy fájlt veszélyessé tesznek. Ez az OPSWATtechnológiáinak működési elve.
Minden fájlt, amely e-mailen vagy cserélhető adathordozón keresztül érkezik a rendszerbe, először a Metascan™ Multiscanning vizsgálja meg. A fájl párhuzamosan több mint 30 kártevőellenes motoron fut át, amelyek a szignatúraalapú észlelést heurisztikával és gépi tanulással kombinálják. Míg egy motor esetleg elmulaszthat egy új Comebacker-változatot, addig annak a valószínűsége, hogy több mint 30 motor mindegyike elmulasztja, jelentősen csökken.
A felderítési lefedettség azonban – bármilyen kiterjedt is legyen – továbbra is attól függ, hogy felismeri-e a rendszer a rosszindulatú elemeket. A Deep CDR™ technológia nem a kártékony kód azonosítására törekszik. Ehelyett megszünteti azokat a feltételeket, amelyek a kártékony kód végrehajtását lehetővé teszik. Ez a megelőző réteg eltávolítja a fájlokból az aktív elemeket, például a makrókat, szkripteket, beágyazott futtatható fájlokat és rejtett objektumokat. Ezután újraépíti a dokumentum tiszta, használható változatát. Ez a folyamat több mint 200 fájltípusnál működik, és milliszekundumok alatt lezajlik.
Deep CDR™ technológia egy „Comebacker”-típusú támadásban
A Deep CDR™ technológia előtt | Deep CDR™ technológia után |
|---|---|
| A VBA-makrók elindítják a betöltő láncot | Makrók eltávolítva |
| A beágyazott futtatható fájl többszintű hasznos terhet telepít | A futtatható fájl eltávolítva |
| A csalidokumentum tartalma (szöveg, formázás, képek) | A futtatható fájl eltávolítva |
Ennek a technológiának a segítségével a veszélyes elemek eltávolításra kerülnek, a hasznos tartalom pedig megmarad. A betöltőprogram, a titkosítási szakaszok, valamint a memóriában futó hátsóajtó nem tudnak végrehajtódni. Ugyanakkor nem minden fájl tisztítható meg. A futtatható fájlok, a telepítőprogramok és bizonyos szabályozott dokumentumok sértetlenül kell maradjanak, különösen az űrhajózási, védelmi és kritikus infrastruktúrájú környezetekben. Ezeknél a fájloknál másfajta ellenőrzésre van szükség.
A tisztíthatatlan, rejtőzködő fájlalapú fenyegetések felismerése
Azoknál a fájloknál, amelyeknek sértetlenül át kell jutniuk a rendszeren, MetaDefender Adaptive Sandbox emulációalapú fenyegetésfelismerés révén viselkedéselemzéstSandbox . Ahelyett, hogy szignatúrákra vagy statikus vizsgálatra támaszkodna, figyelemmel kíséri a fájl futás közbeni viselkedését, hogy feltárja a rejtett rosszindulatú tevékenységeket.
Az ENKI elemzése szerint a Lazarus Group környezeti érzékenységet épít be kártevő szoftvereibe, olyan késleltetett aktiválási és elkerülési technikákat alkalmazva, amelyek célja a virtuális gépek felismerése és megkerülése. Ahelyett, hogy teljes virtuális gépet indítana el, Adaptive Sandbox utasításszinten emulálja a végrehajtást, lehetővé téve az elemzést anélkül, hogy a rosszindulatú programok által észlelhető nyomokat hagyna hátra.
VM-alapú és emuláció-alapú homokozó
VM-alapú homokozó | Emulációalapú Adaptive Sandbox |
|---|---|
| Az anti-VM ellenőrzésekkel kimutatható | Korlátozott átviteli sebesség nagy forgalmú környezetekben |
| Erőforrás-igényes és lassabb ítéletek | Akár tízszer hatékonyabb: az „ ” döntései másodpercek alatt |
| Erőforrás-igényes és lassabb ítéletek | Kézi beállítás nélkül hatástalanítja az anti-VM, az anti-debug és az időalapú kijátszási módszereket |
| Korlátozott átviteli sebesség nagy forgalmú környezetekben | Nagy teljesítményű fájlelemzésre tervezve |
Az elemzés soránSandbox Adaptive Sandbox a futásidejű viselkedéseket, például a fájlrendszer-tevékenységet, a folyamatokba való behatolási kísérleteket, a rendszerleíró adatbázis módosításait és a hálózati kommunikációt. A Comebacker betöltő lánca a következő mintákat hozza létre: a „Startup” mappában elhelyezett parancsikon a program állandó jelenlétének biztosítására, a rundll32 parancs végrehajtása, valamint a titkosított C2-jelzés.
Sandbox Adaptive Sandbox a réteges kártékony kódokatSandbox kibontja, és olyan rejtett IOC-ket tár fel, amelyeket a szignatúra-alapú eszközök soha nem vesznek észre. Az eredmények a MITRE ATT&CK technikákhoz rendelődnek, és hasznosítható fenyegetési információként visszakerülnek a platformba, ami gyorsabb döntéshozatalt és hatékonyabb fenyegetéskeresést tesz lehetővé.
A fájdalom piramisának kezelése egységes felismeréssel
A Comebacker fejlődése pontosan leképezi a „Fájdalom piramisát” – azt a keretrendszert, amely a fenyegetési mutatókat aszerint rangsorolja, hogy mennyibe kerül azok megváltoztatása a támadónak: az alján található hash-értékektől (amelyek cseréje triviális) egészen a csúcson lévő TTP-kig (amelyek átírása komoly fejlesztési erőfeszítést igényel). A Lazarus Group 2021 óta minden ismert Comebacker-kampányban kicserélte az olcsón megváltoztatható mutatókat.
A visszatérő a Fájdalom Piramisához rendelve
A fájdalom piramisa – szint | Példa a Comebacker funkcióra |
|---|---|
| Hash-értékek | Minden dropper- és loader-fázishoz egyedi SHA256 hashérték |
| IP-címek / domainnevek | A kampányok között felváltva használt C2-domainek: hiremployee[.]com, birancearea[.]com. A staging-infrastruktúra az office-theme[.]com oldalon található |
| Hálózati/gépes elemek | A korábbi, titkosítatlan kommunikációt felváltó, AES-128-CBC titkosítású C2-forgalom; a rendszerindítási mappába írt, a folyamat fennmaradását biztosító parancsok |
| Eszközök | A titkosítási algoritmusok fejlődése az RC4-től a HC256-on át a ChaCha20-ig a betöltő fázisok során; egyedi XOR/bitcserélő algoritmus a dropperben |
| TTP-k | Spear phishing fegyverként használt dokumentumokkal (T1566.001), reflektív kódbetöltés (T1620), titkosított C2-jelzés (T1573.001), rendszerbináris fájlok proxy-n keresztüli futtatása a rundll32 segítségével (T1218.011) |
A alsó sorok módosítása valószínűleg csak néhány órába vagy napba került a Lazarus Groupnak; a betöltő architektúrájának és a végrehajtási minták átírása viszont lényegesen több időt igényel. Ha az észlelési stratégia kizárólag az alsó sorokra összpontosít, azzal pontosan azt a játékot játszod, amit a csoport elvár tőled. Valahányszor egy ChaCha20-kulcsra írsz aláírást, ők máris generálnak egy újat.
Sandbox ől Sandbox egységes észlelés Sandbox
Az előző fejezet bemutatta, hogy Adaptive Sandbox hogyanSandbox a Comebacker futásidejű viselkedését. MetaDefender ezt a képességet egy egységes feldolgozási folyamatba integrálja, amely a „Pyramid of Pain” teljes spektrumát lefedi, és minden fájlt négy, egymást követő, egyre mélyebb rétegen keresztül dolgoz fel.
1. réteg, Fenyegetés-hírnév: A fájl-hashértékeket, IP-címeket és domainneveket több mint 50 milliárd mutatóval vet össze. Az ismert Comebacker-infrastruktúrát és a korábban már észlelt mintákat azonnal blokkolja.
2. réteg, dinamikus elemzés: Az ismeretlen mintákat továbbítja az Adaptive Sandbox utasításszintű emulációjához, feltárva ezzel a többlépcsős betöltő láncokat, a visszafejtési rutinokat és a rundll32 parancs végrehajtását. Az újonnan felfedezett IOC-k automatikusan visszakerülnek az 1. rétegbe, megerősítve ezzel a későbbi fájlok észlelését.
3. réteg, fenyegetésértékelés: Összehasonlítja a viselkedési jeleket, és bizalmi szintű kockázati pontszámot rendel hozzájuk, figyelembe véve a perzisztenciamechanizmusokat, a folyamatbehatolást és a C2-tevékenységet. Itt kerül jelzésre a Comebacker C2-kiszolgálói felé irányuló titkosított jelzésküldés, függetlenül attól, hogy milyen titkosítási algoritmust használnak.
4. réteg, fenyegetésfelkutatás: Gépi tanuláson alapuló hasonlóságkeresést alkalmaz több mint 100 millió elemzett minta között, hogy a 2025-ös változatot összekapcsolja a 2021-es és 2024-es Comebacker-kampányokkal, annak ellenére, hogy a titkosítási rendszer teljesen megváltozott. A Lazarus Group arra kényszerítése, hogy feladja betöltő architektúráját és futtatási modelljét, alapvetően másfajta nyomásgyakorlás, mint az új fájl-hashértékek felkutatása.
Előrejelző Alin AI segítségével a végrehajtás előtti intelligencia kiterjesztése
Nem minden fájl esetében szükséges a teljes viselkedéselemzés. Nagy forgalmú környezetekben az összes ismeretlen fájl sandboxba küldése terhelést jelent a rendszer számára. OPSWAT Predictive Alin AI megoldása ezt a problémát egy futtatás előtti intelligencia-rétegként kezeli.
A Predictive Alin AI gépi tanulást alkalmaz a futtatható fájlok szerkezeti és viselkedési mutatóinak elemzésére anélkül, hogy azokat futtatná. Az eredmények a P99-es szinten 100 milliszekundum alatt érkeznek meg. A korai tesztek szerint a futtatható fájlok 90%-át felismeri, 0,1%-os téves riasztási arány mellett. A motor online és offline módban egyaránt azonos teljesítményt nyújt, így olyan, hálózattól elszigetelt környezetekben is bevezethető, ahol a Comebacker-típusú fenyegetések a legsúlyosabb következményekkel járnak.
2 legfontosabb releváns képesség
- Zero-day fenyegetések felismerése: Az Alin AI prediktív rendszere felismeri azokat a korábban ismeretlen fenyegetéseket, amelyeket a szignatúra-alapú motorok nem vesznek észre, és a futtatás előtt elemzi a magas kockázatú futtatható fájltípusokat (PE, ELF, Mach-O és PDF). A támogatott fájltípusok körének bővítése a fejlesztési tervben szerepel.
- A sandbox terhelésének csökkentése: Azokat a fájlokat, amelyekről a motor nagy bizonyossággal megállapítja, hogy ártalmatlanok, a rendszer a sandbox-elemzés kihagyásával továbbítja. Azok a fájlok viszont, amelyeket a rendszer gyanúsnak jelöl, elsőbbséget élveznek MetaDefender négyrétegű feldolgozási folyamatában, így a sandbox kapacitása azoknak a fájloknak marad fenn, amelyek valóban alapos viselkedéselemzést igényelnek.
Az e-mail átjáró védelme, mielőtt a fenyegetések eljutnának a beérkező levelek mappájába
A Comebacker az e-maileken keresztül jut be a rendszerbe. A csalogató dokumentumokat úgy tervezték, hogy a beérkező levelek mappájába kerüljenek, és megnyissák őket. Ha a rosszindulatú melléklet nem érkezik meg, a fertőzési lánc sem indul el. MetaDefender Cloud Security™ integrálódik a Microsoft 365 és a Google Workspace szolgáltatásokkal, így az üzeneteket még azelőtt ellenőrzi és megtisztítja, hogy azok eljutnának a felhasználókhoz. A rendszer a levelezési folyamatba épülve működik, ami azt jelenti, hogy a fenyegetéseket még a kézbesítés előtt megakadályozza.
3 rétegű védelem
- Mellékletek: A fájlokat a Metascan™ Multiscanning a Deep CDR™ technológia segítségével dolgozzuk fel. A beágyazott VBA-makrókat tartalmazó Comebacker .docx fájlokat megtisztítjuk és újraépítjük, mielőtt a címzett megkapná őket.
- Linkek: Az URL-eket elemzik és átírják, hogy megakadályozzák az adathalász oldalak és a parancs- és vezérlő szerverre irányító átirányítások megjelenését.
- Szabályok érvényesítése: A gyanús üzeneteket a szervezeti szabályok alapján automatikusan karanténba helyezik, megtisztítják vagy továbbítják a feletteseknek.
A biztonsági csapatok számára a hatás azonnal érezhető. Ha kevesebb rosszindulatú e-mail jut el a felhasználókhoz, az kevesebb riasztást, kevesebb vizsgálatot és kevesebb javítási munkát jelent. Így a csapatok a nagyobb prioritású fenyegetésekre összpontosíthatnak.
Media cserélhető Media a fizikailag elszigetelt hálózatok védelme
USB és a hordozható lemezek hidat képeznek a külső rendszerek és a vezérlőhálózatok között, így minden átvitt fájl potenciális behatolási ponttá válik. MetaDefender és Media MetaDefender Media biztonsági ellenőrzőpontokat hoz létre ezeken a határokon.
Mielőtt bármely cserélhető adathordozóról származó fájl érzékeny környezetbe kerülne, azt Multiscanning Metascan™ Multiscanning a Deep CDR™ technológiák segítségével átvizsgálják és megtisztítják. Ezzel az e-mail átjárónál alkalmazott védelmet kiterjesztik a fizikai adathordozókra is. A beágyazott makrókra vagy fokozatosan felszabaduló kártékony kódokra épülő, támadási célra felhasználható dokumentumokat még azelőtt hatástalanítják, hogy azok eljutnának a célrendszerbe.
A működési környezetek további kihívást jelentenek: a hordozók sokféleségét. Az információs terminál több mint 20 hordozótípust támogat, köztük USB, USB, SD-kártyák, optikai adathordozók és a régebbi formátumok is, így biztosítva a következetes működést még ott is, ahol régebbi technológiák is használatban vannak.
A hatékonyság titka a szigorú érvényesítésben rejlik. Amint egy fájl átmegy az ellenőrzésen, digitális aláírást kap. OPSWAT Media Agent szoftver, amelyet a végpontokra telepítenek, minden olyan cserélhető adathordozót blokkol, amelyen hiányzik ez az aláírás. A nem ellenőrzött USB egyszerűen nem működik.
A központosított szabályok biztosítják a folyamatok összehangolását. MetaDefender karanténszabályokat, eszközkorlátozásokat és auditnaplózást érvényesít az összes média-munkafolyamatban, biztosítva, hogy minden, az air-gapped környezetbe belépő fájlt ellenőrizzenek, érvényesítsenek és rögzítsenek. A NERC CIP, NIST 800-53 vagy ISA/IEC követelmények szerint működő szervezetek számára ez a szintű ellenőrzés elengedhetetlen. Ellenőrizhető bizonyítékot nyújt arra, hogy minden, a környezetbe belépő fájlt ellenőriztek és engedélyeztek.
Egységes védelem minden fájlhatáron átnyúlóan
Az előző szakaszokban ismertetett technológiák – a többszintű vizsgálat, a Deep CDR™ technológia, a homokozó, az e-mail biztonság és a kioszk-szabályozás – akkor a leghatékonyabbak, ha egyetlen szabályzati keretrendszerben működnek.MetaDefender biztosítja ehhez az alapot.
A platform központosítja a szabályzatokat, a telemetriai adatokat és a végrehajtást minden fájlbeérkezési ponton, a felhőalapú e-mail átjáróktól kezdve a cserélhető adathordozók ellenőrzési pontjain át a hálózati adatátvitelekig. Ahelyett, hogy az egyes ellenőrzési pontokat külön-külön kezelnék, a biztonsági csapatok egyszer meghatározzák a fájlkezelési szabályokat, majd azokat mindenhol következetesen alkalmazzák.
Core MetaDefender Core által támogatott 3 kritikus munkafolyamat
- Egységes fájlkezelési szabályok: Ugyanazok a vizsgálati és tisztítási szabályok érvényesek, függetlenül attól, hogy a fájl hogyan kerül a rendszerbe.
- Automatizált javítás: Sandbox és a hírnévadatok alapján – manuális beavatkozás nélkül – döntés születik a blokkolásról, a karanténba helyezésről vagy a felszabadításról.
- Megfelelés és nyomozási felkészültség: az IOC-ket és az ellenőrzési naplókat jelentéskészítés és vizsgálat céljából exportáljuk a SIEM-platformokra.
Ez az egységes megközelítés megszünteti az egyes védelmi rétegek közötti rések. Ha egy gyanús fájlra vonatkozóan egy bizonyos védelmi rétegen belül a sandbox rendszer negatív eredményt ad, az azonnal hatással lehet arra, hogy a hasonló fájlokat hogyan kezelik a többi védelmi rétegen. Ennek eredményeként gyorsabbá válik a felismerés, csökken az elemzők munkaterhe, és kevesebb lehetőség nyílik arra, hogy egy rosszindulatú fájl a koordinálatlan résekön keresztül bejusson a rendszerbe.
Annak biztosítása, hogy a visszatérő soha ne térjen vissza
A Lazarus Group továbbra is fejleszti titkosítási módszereit, betöltő láncait és terjesztési módszereit, de amit nem tud könnyen megváltoztatni, az a fájlokra, mint behatolási pontokra való támaszkodás. A MetaDefender az e-mailek, a cserélhető adathordozók és a hálózati adatátvitelek során minden fájlhatáron megelőző védelmet biztosít.
Multiscanning a Deep CDR™ technológia még a végrehajtás előtt semlegesíti a fenyegetéseket. MetaDefender négyrétegű észlelési folyamata feltárja azokat az elemeket, amelyek nem tisztíthatók meg biztonságosan, a „Pyramid of Pain” teljes spektrumán működik, és minden elemzés során olyan információkat generál, amelyek megerősítik a védelmet.
Az Alin AI prediktív megoldása kiterjeszti ezt az intelligenciát a hálózati peremre is, milliszekundumok alatt blokkolva az előre jelzett zero-day támadásokat, és így a sandbox kapacitását azoknak a fájloknak tartalékolva, amelyeknek a legnagyobb szükségük van rá. MetaDefender Core , hogy ezek az ellenőrző mechanizmusok egységes szabályzati keretrendszer alapján működjenek.
A Comebacker és az azt követő támadások kapcsán a valódi kérdés nem az, hogy a védelmi rendszereik képesek-e felismerni a legújabb változatot, hanem az, hogy egy rosszindulatú fájl egyáltalán eljuthat-e a felhasználóhoz. Ha szeretné megtudni, hogyan OPSWAT a megelőzés érvényesítésében a teljes környezetben, vegye fel a kapcsolatot szakértőinkkel.
