Новый высокоскрытный вариант ransomware, получивший название Crytox, демонстрирует последовательную способность обходить традиционные решения для обнаружения и реагирования на конечных точках (EDR) и антивирусные (AV) решения. Согласно подробному анализу кибербезопасности компании Halcyon, основной метод уклонения вредоносного ПО основан на злоупотреблении «живыми» исполняемыми файлами системы (LOLBins), в частности, PowerShell. Используя этот доверенный встроенный инструмент Windows, Crytox выполняет свои вредоносные нагрузки непосредственно в памяти — метод, который часто оставляет минимальные следы на диске и позволяет избежать сигнатурного обнаружения. Этот подход подчеркивает растущую тенденцию среди сложных угроз, когда злоумышленники используют легитимные системные инструменты для смешивания вредоносной активности с обычным административным трафиком, что делает обнаружение чрезвычайно сложным для команд безопасности, полагающихся на традиционные инструменты.
Цепь атаки Crytox методична и разработана для скрытности. Первоначальный доступ часто получается через фишинговые кампании или эксплуатацию уязвимостей, обращенных к публичной сети. Попав в сеть, ransomware использует сценарии PowerShell для отключения программ безопасности, повышения привилегий и перемещения по сети. Ключевым аспектом его уклонения является использование обфусцированных и закодированных команд, которые трудно расшифровать с помощью статических анализаторов. Выполняя свои основные процедуры шифрования полностью в энергозависимом пространстве памяти (ОЗУ) через PowerShell, Crytox избегает записи вредоносного исполняемого файла на жесткий диск. Эта техника атаки без файлов не только позволяет обходить сканирование AV, которое отслеживает подозрительные операции записи файлов, но и усложняет расследования после инцидентов, поскольку критические компоненты вредоносного ПО исчезают после перезагрузки системы.
В отчете Halcyon подчеркивается, что Crytox представляет собой не просто еще одно семейство ransomware; это симптом более широкого пробела в защите. Широкое и законное использование PowerShell в корпоративных средах для системного администрирования и автоматизации делает его полную блокировку непрактичной. Следовательно, многие решения EDR настроены на разрешение обычных действий PowerShell, создавая идеальную маскировку для таких угроз, как Crytox. Операторы ransomware используют это доверие, применяя сложные сценарии для проведения разведки, дампа учетных данных с помощью таких инструментов, как Mimikatz, и, в конечном итоге, развертывания полезной нагрузки для шифрования файлов. Это демонстрирует критическую необходимость в стратегиях безопасности, которые выходят за рамки простых списков разрешений/запретов для системных инструментов и вместо этого сосредотачиваются на поведенческой аналитике.
Для защиты от таких сложных угроз организациям необходимо применять многоуровневую стратегию безопасности. Halcyon рекомендует усилить защиту конечных точек с помощью решений, специально разработанных для обнаружения и предотвращения вредоносного использования LOLBins с помощью поведенческого анализа и машинного обучения. Это включает мониторинг аномальной активности PowerShell, такой как выполнение сильно обфусцированных сценариев, подключения к подозрительным сетевым адресатам или попытки отключения процессов безопасности. Кроме того, важными дополнительными мерами являются надежные политики контроля приложений, регулярные проверки управления привилегированным доступом и всестороннее обучение пользователей для распознавания фишинговых попыток. Устойчивость таких угроз, как Crytox, подтверждает, что будущее безопасности конечных точек заключается в понимании намерений и поведения, а не только в поиске известных вредоносных файлов.
