Бесплатно Экспресс-аудит сайта:

05.06.2024

Темная сторона BoxedApp: двойная жизнь легальных упаковщиков

В мире киберпреступности набирает обороты новая тревожная тенденция — злоумышленники все чаще используют коммерческие продукты компании BoxedApp для сокрытия и распространения вредоносного ПО. За последние месяцы аналитики зафиксировали резкий рост числа атак с применением этих инструментов.

В течение прошлого года количество вредоносов, упакованных в BoxedApp, существенно выросло. Основными мишенями стали финансовые и государственные организации по всему миру. Среди наиболее распространенных типов вредоносного ПО — ботнеты удаленного доступа, инфостилеры, а также программы-вымогатели вроде LockBit. Половина образцов происходит из Турции, США и Германии.

Чаще всего хакеры прибегали к двум продуктам BoxedApp — Packer и BxILMerge, базирующимся на мощном SDK . Эти решения открывают доступ к целому спектру продвинутых функций, упрощая распространение вирусов.

Ключевые возможности BoxedApp SDK включают виртуальную файловую систему, виртуальный реестр, создание виртуальных процессов, перехват системных API, упаковку исполняемых файлов и сборку единого пакета со всеми зависимостями. Важным преимуществом является возможность организовать весь ввод-вывод только в оперативной памяти, не оставляя следов на диске.

Использование продуктов BoxedApp позволяет существенно снизить вероятность обнаружения антивирусами, препятствует анализу программ и дает доступ к расширенным функциям, которые обычно сложно реализовать самостоятельно.

При этом алгоритмы упаковки BoxedApp хорошо известны, что упрощает их статическое обнаружение. Виртуальные процессы и перехват API также могут вызывать подозрения. Еще одна проблема — высокая частота ложных срабатываний антивирусов на безопасные программы.

Эксперты изучили около 1200 образцов, упакованных BoxedApp и отправленных в VirusTotal за 3 года. Четверть из них были признаны вредоносными на основе поведенческого анализа. На рост злонамеренного использования BoxedApp указывает и график отправок.

При упаковке программа преобразуется в единый самодостаточный PE-файл. Оригинальные импорты уничтожаются и восстанавливаются во время работы через обратный вызов TLS, который также инициализирует виртуальное хранилище и распаковку его содержимого.

Зависимости оригинального приложения могут быть частью проприетарной системы виртуального хранилища — виртуальной файловой системы и виртуального реестра. Механизмы BoxedApp перехватывают операции ввода-вывода, направляя их в виртуальное пространство в памяти и не создавая файлов на диске.

Структура упакованного нативного PE-файла:

Оригинальный PE с уничтоженными импортами (в секции.main)

Виртуальные файлы/реестр (в секции.bxpck)

Библиотеки BoxedApp SDK (bxsdk*, BoxedAppSDK_, ThunkUtils, TLSSupport*)

Структура упакованного.NET PE после Packer:

Нативный Stub файл DotNetAppStub

Оригинальный.NET PE (в секции.bxpck)

Виртуальное хранилище (в секции.bxpck)

Библиотеки BoxedApp SDK

Продукт BxILMerge объединяет.NET-сборки, библиотеки и любые другие файлы в единый управляемый модуль, используя механизмы BoxedApp.

Благодаря анализу бинарных структур BoxedApp эксперты предложили методы распаковки оригинальных файлов и извлечения содержимого виртуального хранилища, в том числе динамический подход с дампом процессов из памяти.

Предоставленные сигнатуры Yara и знания внутренних механизмов BoxedApp позволят улучшить обнаружение вредоносов, скрытых с помощью этих продуктов, которые стремительно набирают популярность у киберпреступников по всему миру.