Droppers та Loaders

Droppers та Loaders у сучасних кібератаках: повний технічний гайд

Droppers і Loaders — фундаментальні компоненти в екосистемі шкідливого ПЗ. На відміну від класичних троянів або вірусів, вони рідко є кінцевою шкідливою програмою. Їх основна функція — доставити або завантажити інше ПЗ (малвар), часто у прихованій формі, у пам’ять або на диск, забезпечити початковий доступ і створити «плацдарм» для наступних стадій атаки.

Сучасні APT-групи, кіберзлочинні банди та розробники ransomware у 2024–2025 роках майже завжди використовують droppers/loaders як першу фазу зараження. Вони дозволяють успішно обходити антивірусні системи, маскувати початок атаки, а також підтримувати багатоступеневі інфекційні ланцюги.

1. Що таке Dropper?

Dropper — це шкідлива програма, яка створена для того, щоб «доставити» інший шкідливий компонент на цільовий хост. Dropper може:

• розпакувати payload, прихований всередині себе;
• завантажити payload з сервера атакувальника;
• розмістити бекдор у системі;
• розгорнути кілька інфекційних модулів;
• маскувати шкідливу активність під легітимні апдейти чи інсталятори.

Ключова характеристика dropper’ів — наявність первинного stage-payload у самому виконуваному файлі або документах.

Види droppers:

• Stage 0 Dropper — запускається першим, зазвичай дуже простий, часто у вигляді макросу або HTML/JS-файлу.
• Stage 1 Dropper — більш складний, виконує розпаковку, декодування або доставку наступних модулів.
• Multi-Stage Dropper — створює ланцюг із 3–6 стадій для уникнення детекції.

Відомі приклади: Emotet Dropper, Ursnif Dropper, Dridex Dropper, QakBot Dropper.

2. Що таке Loader?

Loader — це шкідливий компонент, який не обов’язково містить payload всередині себе, але призначений для:

• завантаження шкідливого ПЗ з Command & Control сервера;
• збереження його у пам’яті або на диску;
• виконання стартових конфігурацій malware;
• створення persistence механізмів;
• допоміжного обходу безпеки.

Loaders часто використовують fileless-методи:

• PowerShell in-memory execution,
• reflective DLL injection,
• process hollowing,
• shellcode injection у легітимні процеси (svchost.exe, explorer.exe).

Відомі приклади: TrickBot Loader, BazarLoader, Vidar Loader, SmokeLoader, Hancitor.

3. Різниця між Dropper і Loader

4. Топ технік, які використовують Droppers

4.1. Документні макроси (VBA, VBS)

Класичний спосіб інфікування через:

• Word (.docm)
• Excel (.xlsm)
• PowerPoint
• Outlook macro scripts

Макрос завантажує payload або розпаковує зашифрований елемент з документа.

powershell -ExecutionPolicy Bypass -EncodedCommand ...

4.2. HTML/JS Droppers

Зустрічаються у:

• фішингових HTML-сторінках;
• файлах .html / .htm, які користувач відкриває локально;
• вбудованих JS-завантажувачах.

Javascript dropper — популярний у атаках на великі компанії.

4.3. Архівні droppers

Payload зашитий у:

• .zip
• .rar
• .iso
• .img
• .7z

Атаки через ISO-файли виросли на 380% у 2024 році. Чому?

Бо системи безпеки не завжди аналізують образи дисків.

4.4. Polyglot-droppers

Це droppers, які одночасно є:

• PDF + JS
• PNG + JS
• DLL + ZIP

Тобто файл відкривається як PNG, але містить у хвості шкідливий ZIP. Цю техніку активно застосовує Lazarus.

5. Топ технік loaders

5.1. Reflective DLL Injection

Loader завантажує шкідливу DLL без запису на диск.

Це популярна техніка в атаках від Cobalt Strike Beacon, Metasploit Meterpreter, Empire.

5.2. Process Hollowing

Loader створює процес, наприклад:

svchost.exe

потім «вичищає» його пам’ять і вставляє туди малвар.

5.3. PowerShell in-memory loaders

PowerShell використовує команди:

• Invoke-Expression
• Invoke-WebRequest
• IEX (New-Object Net.WebClient)

Payload існує тільки у пам’яті.

5.4. LOLBins як loaders

Файли Windows, якими часто зловживають:

• mshta.exe (запуск JS/HTML)
• rundll32.exe (запуск DLL)
• regsvr32.exe (запуск .sct скриптів)
• powershell.exe (fileless loader)
• wmic.exe
• msiexec.exe

Це дозволяє обходити EDR-рішення.

6. Як Droppers і Loaders обходять захист

6.1. Шифрування payload

Зазвичай AES, RC4, XOR. Це приховує шкідливий код.

6.2. Obfuscation

Наприклад:

• VBA Obfuscation
• PowerShell Obfuscation
• JS Obfuscation

6.3. Fileless виконання

Payload не потрапляє на диск → антивірус безсилий.

6.4. Code signing abuse

Деякі droppers підписуються вкраденими цифровими сертифікатами.

6.5. Sandbox evasion

Типові перевірки:

• мало ядер → sandbox
• мала RAM → sandbox
• короткий uptime → sandbox

7. Реальні атаки у світі (кейс-стаді)

7.1. Emotet Dropper (найвідоміший у світі)

Використовував:

• Word макроси
• PowerShell loaders
• Dynamic DLL loader

Emotet доставляв:

• TrickBot
• Ryuk ransomware
• QakBot

7.2. BazarLoader

Соціальна інженерія через фейкові дзвінки support-служби. Loader доставляв:

• Conti ransomware
• Anchor backdoor

7.3. SmokeLoader

Поширений у сірому сегменті darkweb. Веде до великих інфекцій банківським троянами.

8. Як виявити Droppers/Loaders?

• EDR моніторинг процесів
• Логування PowerShell
• Моніторинг LOLBins
• Виявлення унікальних мережевих запитів
• Sysmon з правилами

Події, які потрібно відстежувати:

Process Create (Sysmon Event 1)
Network Connect (Sysmon Event 3)
Image Load (Sysmon Event 7)
Registry Events (Sysmon Event 13)

9. Як захиститися

• Заборонити макроси у Microsoft Office
• Відключити PowerShell 2.0
• AppLocker для LOLBins
• EDR-контроль
• Фільтрація email вкладень
• Блокування HTA, JS, VBS файлів

Висновок

Droppers і Loaders — ключові елементи сучасних кібератак. Вони дозволяють зловмисникам почати багатоступеневу атаку, розгорнути інші шкідливі компоненти, уникнути детекції та забезпечити контроль над системою. Розуміння їхньої роботи — обов’язкове для спеціалістів SOC, Blue Team, Red Team та аналітиків з кібербезпеки.

Захист від таких загроз потребує комплексного підходу: від заборони макросів і логування PowerShell до повноцінних EDR-рішень та поведінкової аналітики.