Detaljan pregled: Unutar "SteelFoxa" – Visokoperformansni C++ Crimeware paket koji iskorištava BYOVD

Za razliku od tipičnog "script-kiddie" zlonamjernog softvera, SteelFox je profesionalno razvijena C++ aplikacija koja koristi napredne biblioteke (Boost.Asio, wolfSSL), moderne standarde šifriranja (TLS 1.3) i tehniku "Donesi svoj ranjivi drajver" (BYOVD) za postizanje NT\SYSTEM privilegija. Ovaj izvještaj detaljno opisuje lanac infekcije, iskorištavanje drajvera WinRing0.sys i mogućnost dvostrukog korisnog opterećenja koja uključuje krađu informacija i rudarenje kriptovaluta.

Distribucija i vektor infekcije

Kampanja se oslanja na masovnu distribuciju, a ne na spear phishing. Akteri prijetnji iskorištavaju potražnju za piratskim softverom, distribuirajući zlonamjerni softver putem:

Torrent trackeri (s fokusom na Rusiju i Kinu)
Forumi zajednice
Blogovi koji hostiraju "Warez"

Mamac

Zlonamjerni softver je zapakiran kao "crack" ili "aktivator" za visokovrijedni komercijalni softver. Potvrđeni mamci uključuju:

Foxit PDF editor
JetBrains IDE-ovi (IntelliJ IDEA, WebStorm)
AutoCAD

Socijalni inženjering i izvršenje

Kada žrtva izvrši dropper (npr. foxitcrack.exe), zlonamjerni softver izvršava dvije istovremene radnje:

Legitimna aktivacija: Zapravo ažurira ciljani softver, koji funkcionira kako je obećano. Ovo efikasno smiruje korisnika i smanjuje sumnju.
Zlonamjerna instalacija: Zahtijeva administratorske privilegije - navodno za zakrpu datoteka u C:\Program Files - koje zatim koristi za pokretanje lanca infekcije.

Tehnička analiza: Dropper & Loader

Početna faza je AMD64 PE izvršna datoteka koju karakterizira visoka entropija u svojoj .rdata sekciji, što ukazuje na pakirani ili šifrirani sadržaj.

Dešifriranje korisnog tereta

Učitavač koristi robusnu kriptografiju za raspakivanje svog korisnog sadržaja:

Algoritam: AES-128 sa ulančavanjem šifriranih blokova (CBC).
Optimizacija: Novije varijante koriste AES-NI skup instrukcija, što ukazuje na to da programeri optimiziraju performanse i hardversko ubrzanje.
Zataškavanje: Binarna datoteka uključuje "neželjene" podatke i manipulirane vremenske oznake linkera (u rasponu od maja do decembra 2022.) kako bi se promijenila heš datoteka i izbjeglo otkrivanje statičkog potpisa.

Mehanizam perzistencije

Nakon dešifriranja, korisni sadržaj se premješta u direktorij maskiran kao legitimne softverske komponente. Uobičajeni putevi uključuju:

C:\Programske datoteke\Foxit Software\Foxit PDF Editor\plugins\FoxitPDFEditorUpdateService.exe
C:\Programske datoteke (x86)\Common Files\Adobe\AdobeGCClient\AGSService.exe
C:\Programske datoteke\Autodesk\AdODIS\V1\Setup\lpsad.exe

Zlonamjerni softver se zatim registruje kao Windows servis. Koristi StartServiceCtrlDispatcherW API za rukovanje signalima kontrole servisa (zaustavljanje, gašenje), osiguravajući da se automatski pokreće s operativnim sistemom.

Eskalacija privilegija: BYOVD tehnika

Najkritičnija komponenta SteelFoxa je njegova sposobnost dobijanja pristupa na nivou jezgra koristeći tehniku Bring Your Own Vulnerable Driver (BYOVD).

Ranjivost

SteelFox uklanja i instalira WinRing0.sys, legitimni drajver koji se historijski koristio za praćenje hardvera (npr. u alatima poput open hardware monitor). Ovaj drajver je potpisan važećim certifikatom, ali sadrži kritične ranjivosti (CVE-2020-14979 i CVE-2021-41285).

Lanac iskorištavanja

Kreiranje servisa: Zlonamjerni softver kreira servis za WinRing0.sys.
Komunikacija: Otvara identifikator za upravljački program putem veze uređaja \.\WinRing0_1_2_0.
Pristup jezgru: Budući da WinRing0.sys omogućava aplikacijama korisničkog načina čitanje/pisanje u fizičku memoriju (MSR) bez odgovarajuće validacije, SteelFox to iskorištava za izvršavanje koda s privilegijama Ring 0 (Kernel).

Uticaj:

Zaobilazi kontrolu korisničkih računa (UAC).
Izbjegava provjeru potpisa vozača (DSE).
Dobija mogućnost prekidanja Endpoint Protection (AV/EDR) procesa na nivou kernela.

Napomena: Od 2025. godine, "Lista blokiranih ranjivih drajvera" programa Microsoft Defender označava ovo kao VulnerableDriver:WinNT/Winring0, ali sistemi bez omogućene ove funkcije ostaju ranjivi.

Mrežna komunikacija i izbjegavanje

SteelFox se ističe zbog korištenja C++ biblioteka visokog nivoa za umrežavanje, posebno Boost.Asio za asinhroni I/O i wolfSSL za enkripciju.

Arhitektura komandovanja i kontrole (C2)

Protokol: Sav promet je šifriran pomoću TLS v1.3, što osigurava privatnost i integritet.
SSL pinning: Zlonamjerni softver koristi SSL pinning za tvrdo kodiranje očekivanog certifikata servera. Ovo čini lokalnu Man-in-the-Middle (MitM) inspekciju - uobičajenu tehniku koju koriste sigurnosni istraživači i korporativni zaštitni zidovi - neefikasnom.
Infrastruktura: C2 domene (npr. ankjdans[.]xyz) se rješavaju korištenjem DNS-a preko HTTPS-a (DoH) putem Google Public DNS-a. Ovo skriva DNS pretrage od lokalnih logova i ISP filtera.

Korisni sadržaji: Crimeware paket

Nakon uspostavljanja, SteelFox implementira dva primarna modula.

A. Kradljivac informacija

Ovaj modul cilja podatke preglednika pohranjene u lokalnim SQLite bazama podataka. Podržava više od 13 preglednika, uključujući Chrome, Edge, Firefox, Brave i Operu.

Podaci su izvučeni:

Financije: Podaci o kreditnoj kartici sačuvani su u automatskom popunjavanju.
Identitet: Kolačići (otimanje sesije), historija pregledavanja i sačuvani podaci za prijavu.
Sistem: Detalji RDP sesije, Wi-Fi profili (SSID-ovi i lozinke) i mape mrežnog interfejsa.
Okruženje: Spisak instaliranog sigurnosnog softvera i verzija sistema.

B. Kriptorudarski program (XMRig)

Zlonamjerni softver koristi modificiranu verziju XMRig minera otvorenog koda za prikupljanje podataka iz Monera (XMR).

Implementacija: Izvršna datoteka rudara se često preuzima iz GitHub repozitorija (npr. github.com/cppdev-123) ili ugrađuje u korisni teret.
Prikrivenost: Ubrizgava neželjeni kod kako bi poremetio podudaranje potpisa.
Izvršavanje: Koristi drajver WinRing0.sys za inicijalizaciju, osiguravajući da radi s maksimalnim prioritetom i pristupom hardveru.

Globalni utjecaj i statistika

Prema telemetriji glavnih dobavljača sigurnosnih rješenja (Kaspersky i drugi), kampanja ima globalni otisak sa specifičnim koncentracijama u regijama s visokom stopom piraterije.

Najpogođenije zemlje:

Brazil
Kina
Rusija
Meksiko
UAE / Egipat / Alžir

Ukupan broj žrtava: >11.000 potvrđenih jedinstvenih infekcija (zaključno sa oktobrom 2024.).

Indikatori kompromisa (IoC)

Centri za sigurnosne operacije (SOC) trebaju koristiti sljedeće indikatore za detekciju i lov.

Hešovi datoteka (MD5)

Komponenta	Haš
Korisni teret	fb94950342360aa1656805f6dc23a1a0
Utovarivač	5029b1db994cd17f2669e73ce0a0b71a
Postavljanje (lpsad.exe)	69a74c90d0298d2db34b48fa6c51e77d
Adobe usluge (AGS)	84b29b171541c8251651cabe1364b7b6

Mrežni artefakti

Domena: ankjdans[.]xyz
IP adresa: 205.185.115.5
URL obrazac: hxxps://www.cloudstaymoon[.]com/2024/05/06/tools-1

Putanje sistema datoteka

%ProgramFiles%\Foxit Software\Foxit PDF Editor\plugins\FoxitPDFEditorUpdateService.exe
%ProgramFiles(x86)%\Common Files\Adobe\AdobeGCClient\AGSService.exe
%ProgramFiles%\Autodesk\AdODIS\V1\Setup\lpsad.exe

Ublažavanje i odgovor

Sofisticiranost SteelFoxa zahtijeva višeslojnu odbrambenu strategiju.

Primjena liste blokiranih ranjivih upravljačkih programa: Administratori moraju omogućiti Microsoftovu listu blokiranih ranjivih upravljačkih programa u programu Windows Defender ili putem grupnih pravila (HVCI) kako bi spriječili učitavanje datoteke WinRing0.sys.
Praćenje ponašanja (EDR): Detekcija zasnovana na potpisu nije dovoljna zbog česte rekompilacije. EDR pravila trebaju označavati:
- Nesistemski procesi pokušavaju pristupiti \.\WinRing0.
- DNS preko HTTPS prometa prema DoH provajderima koji nisu korporativni.
- Neočekivano kreiranje servisa u Program Files.
Inspekcija mreže: Dok SSL pinning komplikuje inspekciju, analiza prometa može identificirati veze s poznatim C2 IP adresama i neuobičajenu količinu podataka (što ukazuje na krađu podataka).
Provođenje pravila: Ograničite mogućnost korisnika da preuzimaju i instaliraju nepotpisani softver ili alate s torrent trackera.