Το κακόβουλο λογισμικό έχει γίνει πιο δύσκολο να εντοπιστεί. Τι είναι αρθρωτό κακόβουλο λογισμικό και πώς θα το σταματήσετε να προκαλεί όλεθρο στον υπολογιστή σας;

Modular Malware: Η νέα μυστική επίθεση που κλέβει τα δεδομένα σας

Διαφήμιση Το κακόβουλο λογισμικό έρχεται σε όλα τα σχήματα και μεγέθη. Επιπλέον, η πολυπλοκότητα του κακόβουλου λογισμικού έχει αυξηθεί σημαντικά με την πάροδο των ετών. Οι επιτιθέμενοι συνειδητοποιούν ότι η προσπάθεια προσαρμογής σε κάθε πτυχή του κακόβουλου πακέτου τους σε ένα μόνο ωφέλιμο φορτίο δεν είναι

Διαφήμιση

Το κακόβουλο λογισμικό έρχεται σε όλα τα σχήματα και μεγέθη. Επιπλέον, η πολυπλοκότητα του κακόβουλου λογισμικού έχει αυξηθεί σημαντικά με την πάροδο των ετών. Οι επιτιθέμενοι συνειδητοποιούν ότι η προσπάθεια προσαρμογής σε κάθε πτυχή του κακόβουλου πακέτου τους σε ένα μόνο ωφέλιμο φορτίο δεν είναι πάντα ο πιο αποτελεσματικός τρόπος.

Με την πάροδο του χρόνου, το κακόβουλο λογισμικό έχει γίνει αρθρωτό. Δηλαδή, ορισμένες παραλλαγές κακόβουλου λογισμικού μπορούν να χρησιμοποιούν διαφορετικές ενότητες για να αλλάξουν τον τρόπο με τον οποίο επηρεάζουν ένα σύστημα προορισμού. Επομένως, τι είναι αρθρωτό κακόβουλο λογισμικό και πώς λειτουργεί;

Τι είναι το Modular Malware;

Το modular malware είναι μια προηγμένη απειλή που επιτίθεται σε ένα σύστημα σε διαφορετικά στάδια. Αντί να ανατινάξουμε την μπροστινή πόρτα, το αρθρωτό κακόβουλο λογισμικό παίρνει μια πιο λεπτή προσέγγιση.

Αυτό γίνεται μόνο με την εγκατάσταση των βασικών εξαρτημάτων πρώτα. Στη συνέχεια, αντί να προκαλέσει φαντασία και να ειδοποιήσει τους χρήστες για την παρουσία του, η πρώτη ενότητα εξετάζει το σύστημα και την ασφάλεια του δικτύου. ποιος είναι υπεύθυνος, ποιες προστασίες τρέχουν, όπου το κακόβουλο λογισμικό μπορεί να εντοπίσει τρωτά σημεία, ποια εκμετάλλευση έχουν τις καλύτερες πιθανότητες επιτυχίας κ.ο.κ.

Μετά την επιτυχή εξάπλωση του τοπικού περιβάλλοντος, το πρώτο τμήμα κακόβουλου λογισμικού μπορεί να καλέσει το σπίτι στον κεντρικό υπολογιστή εντολών και ελέγχου (C2). Το C2 μπορεί στη συνέχεια να στείλει πίσω περαιτέρω οδηγίες μαζί με πρόσθετες ενότητες κακόβουλου λογισμικού για να εκμεταλλευτεί το συγκεκριμένο περιβάλλον στο οποίο λειτουργεί το κακόβουλο λογισμικό.

Το αρθρωτό κακόβουλο λογισμικό έχει πολλά πλεονεκτήματα σε σύγκριση με το κακόβουλο λογισμικό που συσκευάζει όλες τις λειτουργίες του σε ένα μόνο ωφέλιμο φορτίο.

  • Ο συντάκτης κακόβουλου λογισμικού μπορεί να αλλάξει γρήγορα την υπογραφή κακόβουλου λογισμικού για να αποφύγει τα προγράμματα προστασίας από ιούς και άλλα προγράμματα ασφαλείας.
  • Το modular malware επιτρέπει εκτεταμένη λειτουργικότητα για ποικίλα περιβάλλοντα. Σε αυτό, οι συγγραφείς μπορούν να αντιδράσουν σε συγκεκριμένους στόχους, ή εναλλακτικά, να δεσμεύσουν συγκεκριμένες ενότητες για χρήση σε συγκεκριμένα περιβάλλοντα.
  • Οι αρχικές ενότητες είναι μικροσκοπικές και κάπως πιο εύκολο να καταλάβουν.
  • Ο συνδυασμός πολλαπλών ενοτήτων κακόβουλου λογισμικού κρατά τους ερευνητές της ασφάλειας να μαντέψουν τι θα ακολουθήσει.

Το modular malware δεν αποτελεί ξαφνική νέα απειλή. Οι προγραμματιστές κακόβουλου λογισμικού έχουν κάνει αποτελεσματική χρήση αρθρωτών προγραμμάτων κακόβουλου λογισμικού για μεγάλο χρονικό διάστημα. Η διαφορά είναι ότι οι ερευνητές της ασφάλειας συναντούν περισσότερο αρθρωτό κακόβουλο λογισμικό σε ένα ευρύτερο φάσμα καταστάσεων. Οι ερευνητές έχουν επίσης εντοπίσει το τεράστιο botnet Necurs (άγνωστο για τη διανομή των παραλλαγών Dridex και Locky ransomware) που διανέμουν αρθρωτά ωφέλιμα φορτία malware. (Τι είναι ένα botnet, ούτως ή άλλως, τι είναι ένα Botnet και ο υπολογιστής σας είναι μέρος ενός;) Τι είναι το Botnet και ο υπολογιστής σας είναι μέρος ενός; ένα botnet, πώς εμφανίζονται, ποιος τα ελέγχει και πώς μπορούμε να τα σταματήσουμε;

Modular παραδείγματα κακόβουλου λογισμικού

Υπάρχουν μερικά πολύ ενδιαφέροντα αρθρωτά παραδείγματα κακόβουλου λογισμικού. Εδώ είναι μερικά για να εξετάσετε.

VPNFilter

Το VPNFilter είναι μια πρόσφατη παραλλαγή κακόβουλου λογισμικού που επιτίθεται σε δρομολογητές και συσκευές Internet of Things (IoT). Το κακόβουλο πρόγραμμα λειτουργεί σε τρία στάδια.

Το κακόβουλο λογισμικό πρώτου σταδίου έρχεται σε επαφή με ένα διακομιστή εντολών και ελέγχου για να πραγματοποιήσει λήψη της μονάδας της δεύτερης φάσης Η ενότητα του δεύτερου σταδίου συλλέγει δεδομένα, εκτελεί εντολές και μπορεί να παρεμβαίνει στη διαχείριση συσκευών (συμπεριλαμβανομένης της δυνατότητας να "τούβλο" ένα router, IoT ή συσκευή NAS). Το δεύτερο στάδιο μπορεί επίσης να κατεβάσει μονάδες τρίτου σταδίου, οι οποίες λειτουργούν σαν plugins για το δεύτερο στάδιο. Τα τρία τμήματα της φάσης περιλαμβάνουν ένα πακέτο sniffer για την κυκλοφορία SCADA, ένα δομοστοιχείο έγχυσης πακέτων και μια ενότητα που επιτρέπει στο στάδιο 2 malware να επικοινωνεί χρησιμοποιώντας το δίκτυο Tor.

Μπορείτε να μάθετε περισσότερα για το VPNFilter, από πού προήλθε και πώς να το εντοπίσετε εδώ.

Modular Malware: Η νέα μυστική επίθεση Η κλοπή της υποδομής διακομιστή κακόβουλου λογισμικού vpnfilter

T9000

Οι ερευνητές της ασφάλειας Palo Alto Networks αποκάλυψαν το κακόβουλο λογισμικό T9000 (καμία σχέση με το Terminator ή το Skynet ... ή μήπως είναι ;!).

Το T9000 είναι ένα εργαλείο συλλογής πληροφοριών και πληροφοριών. Μόλις εγκατασταθεί, το T9000 επιτρέπει σε έναν εισβολέα να "συλλάβει κρυπτογραφημένα δεδομένα, να τραβήξει στιγμιότυπα συγκεκριμένων εφαρμογών και ειδικά να στοχεύσει χρήστες του Skype", καθώς και αρχεία προϊόντων του Microsoft Office. Το T9000 έρχεται με διαφορετικές μονάδες σχεδιασμένες να αποφεύγουν έως και 24 διαφορετικά προϊόντα ασφαλείας, αλλάζοντας τη διαδικασία εγκατάστασης για να παραμείνει κάτω από το ραντάρ.

DanaBot

Το DanaBot είναι ένας τραπεζικός Trojan πολλαπλών σταδίων με διαφορετικά πρόσθετα που χρησιμοποιεί ο συντάκτης για να επεκτείνει τη λειτουργικότητά του. (Πώς να απλά και αποτελεσματικά να ασχοληθεί με Trojans απομακρυσμένης πρόσβασης Πώς να απλά και αποτελεσματικά ασχολούνται με Trojans απομακρυσμένης πρόσβασης Πώς να απλά και αποτελεσματικά ασχολούνται με απομακρυσμένη πρόσβαση Trojans Οσμή RAT Εάν πιστεύετε ότι έχετε μολυνθεί με Trojan απομακρυσμένης πρόσβασης, μπορείτε να το ξεφορτωθείτε εύκολα ακολουθώντας αυτά τα απλά βήματα. Για παράδειγμα, τον Μάιο του 2018, η DanaBot εντοπίστηκε σε μια σειρά επιθέσεων εναντίον τραπεζών της Αυστραλίας. Εκείνη την εποχή, οι ερευνητές αποκάλυψαν ένα πακέτο sniffing και ένεση plugin, ένα VNC απομακρυσμένη προβολή plugin, ένα plugin συλλογής δεδομένων, και ένα tor plugin που επιτρέπει την ασφαλή επικοινωνία.

"Το DanaBot είναι ένας τραπεζικός Δούρειος Ίππος, που σημαίνει ότι είναι αναγκαστικά γεωγραφικά στοχευμένο", αναφέρει η καταχώρηση του Proofpoint DanaBot στο blog. "Ωστόσο, όπως υιοθετήθηκε από τους ηθοποιούς μεγάλου όγκου, όπως είδαμε στην αμερικανική καμπάνια, προτείνουμε την ενεργό ανάπτυξη, τη γεωγραφική επέκταση και το συνεχιζόμενο ενδιαφέρον για τους δράστες απειλών σχετικά με το κακόβουλο λογισμικό. Το ίδιο το κακόβουλο λογισμικό περιέχει μια σειρά από αντικαταθλιπτικά χαρακτηριστικά, καθώς και ενημερωμένες μονάδες κακοποίησης και απομακρυσμένου ελέγχου, αυξάνοντας περαιτέρω την ελκυστικότητα και τη χρησιμότητά του σε παράγοντες απειλής ».

Marap, AdvisorsBot και CobInt

Συνδυάζω τρεις παραλλαγές αρθρωτών κακόβουλων προγραμμάτων σε ένα τμήμα, καθώς οι φοβεροί ερευνητές της Proofpoint ανακάλυψαν και τα τρία. Οι αρθρωτές παραλλαγές κακόβουλου λογισμικού έχουν ομοιότητες, αλλά έχουν διαφορετικές χρήσεις. Επιπλέον, το CobInt αποτελεί μέρος μιας εκστρατείας για τον όμιλο Cobalt, μια εγκληματική οργάνωση με δεσμούς με έναν μακρύ κατάλογο τραπεζικών και χρηματοπιστωτικών εγκλημάτων στον κυβερνοχώρο.

Οι Marap και AdvisorsBot εντοπίστηκαν τόσο στοχευμένα συστήματα στόχευσης για την άμυνα και χαρτογράφηση δικτύου όσο και αν το κακόβουλο λογισμικό θα πρέπει να κάνει λήψη του πλήρους ωφέλιμου φορτίου. Εάν το σύστημα στόχου έχει επαρκές ενδιαφέρον (π.χ., έχει αξία), το κακόβουλο λογισμικό καλεί για το δεύτερο στάδιο της επίθεσης.

Όπως και άλλες μορφολογικές παραλλαγές κακόβουλου λογισμικού, οι Marap, AdvisorsBot και CobInt ακολουθούν μια ροή τριών σταδίων. Το πρώτο στάδιο είναι συνήθως ένα μήνυμα ηλεκτρονικού ταχυδρομείου με ένα μολυσμένο συνημμένο που μεταφέρει την αρχική εκμετάλλευση. Εάν το exploit εκτελείται, το κακόβουλο λογισμικό ζητά άμεσα το δεύτερο στάδιο. Το δεύτερο στάδιο περιλαμβάνει τη μονάδα αναγνώρισης η οποία αξιολογεί τα μέτρα ασφαλείας και το τοπίο δικτύου του συστήματος στόχου. Εάν το κακόβουλο λογισμικό θεωρεί ότι όλα είναι κατάλληλα, το τρίτο και τελευταίο στοιχείο downloads, συμπεριλαμβανομένου του κύριου ωφέλιμου φορτίου.

Αναφορά της ανάλυσης:

  • Marap
  • AdvisorBot (και PoshAdvisor)
  • CobIn

Αντάρα

Το Mayhem είναι μια ελαφρώς παλαιότερη αρθρωτή παραλλαγή κακόβουλου λογισμικού, αρχίζει να αναβιώνει το 2014. Ωστόσο, το Mayhem παραμένει ένα εξαιρετικό παράδειγμα αρθρωτού κακόβουλου λογισμικού. Το κακόβουλο λογισμικό, που αποκαλύφθηκε από τους ερευνητές ασφάλειας στο Yandex, απευθύνεται σε διακομιστές web Linux και Unix. Εγκαθιστά μέσω ενός κακόβουλου script PHP.

Μόλις εγκατασταθεί, το σενάριο μπορεί να καλέσει διάφορα πρόσθετα που καθορίζουν την τελική χρήση του κακόβουλου λογισμικού.

Τα plugins περιλαμβάνουν ένα cracker με κωδικό πρόσβασης με βίαιες δυνάμεις που στοχεύει τους λογαριασμούς FTP, WordPress και Joomla, έναν ανιχνευτή ιστού για αναζήτηση άλλων ευπαθών διακομιστών και ένα εργαλείο που εκμεταλλεύεται την ευπάθεια του Heartbleed OpenSLL.

DiamondFox

Η τελική τροποποιημένη παραλλαγή malware είναι επίσης μία από τις πιο ολοκληρωμένες. Είναι επίσης ένα από τα πιο ανησυχητικά, για μερικούς λόγους.

Λόγος ένα: DiamondFox είναι ένα αρθρωτό botnet για πώληση σε διάφορα υπόγεια φόρουμ. Οι πιθανοί κυβερνητικοί εγκληματίες μπορούν να αγοράσουν το πακέτο αρθρωτού botnet DiamondFox για να αποκτήσουν πρόσβαση σε ένα ευρύ φάσμα προηγμένων δυνατοτήτων επίθεσης. Το εργαλείο ενημερώνεται τακτικά και, όπως όλες οι καλές υπηρεσίες online, έχει εξατομικευμένη υποστήριξη πελατών. (Έχει ακόμη και μια καταγραφή αλλαγών!)

Λόγος δύο: Το αρθρωτό botnet DiamondFox έρχεται με μια σειρά από plugins. Αυτά είναι ενεργοποιημένα και απενεργοποιημένα μέσω ενός ταμπλό που δεν θα ήταν εκτός χώρου ως έξυπνη εφαρμογή στο σπίτι. Οι προσθήκες περιλαμβάνουν προσαρμοσμένα εργαλεία κατασκοπείας, εργαλεία κλοπής διαπιστευτηρίων, εργαλεία DDoS, keyloggers, αποστολείς ανεπιθύμητης αλληλογραφίας (spam mailers) και ακόμη και αποξέστη RAM.

Προειδοποίηση: Το παρακάτω βίντεο διαθέτει μουσική που μπορείτε ή δεν μπορείτε να απολαύσετε.

Πώς να σταματήσει ένα Modular Attack Malware

Την τρέχουσα στιγμή, κανένα συγκεκριμένο εργαλείο δεν προστατεύει από μια συγκεκριμένη παραλλαγή κακόβουλου λογισμικού. Επίσης, ορισμένες μορφολογικές παραλλαγές κακόβουλου λογισμικού έχουν περιορισμένη γεωγραφική εμβέλεια. Για παράδειγμα, οι Marap, AdvisorsBot και CobInt βρίσκονται κυρίως στη Ρωσία και τις χώρες της ΚΑΚ.

Ωστόσο, οι ερευνητές της Proofpoint επεσήμαναν ότι παρά τους σημερινούς γεωγραφικούς περιορισμούς, αν άλλοι εγκληματίες βλέπουν μια τέτοια καθιερωμένη εγκληματική οργάνωση χρησιμοποιώντας αρθρωτό κακόβουλο λογισμικό, άλλοι σίγουρα θα ακολουθήσουν το παράδειγμά τους.

Η συνειδητοποίηση σχετικά με το πώς φθάνει το αρθρωτό κακόβουλο λογισμικό στο σύστημά σας είναι σημαντική. Η πλειονότητα χρησιμοποιεί προσβεβλημένα συνημμένα ηλεκτρονικού ταχυδρομείου, τα οποία συνήθως περιέχουν ένα έγγραφο του Microsoft Office με κακόβουλο σενάριο VBA. Οι επιτιθέμενοι χρησιμοποιούν αυτή τη μέθοδο επειδή είναι εύκολο να στέλνουν μολυσμένα μηνύματα ηλεκτρονικού ταχυδρομείου σε εκατομμύρια δυνητικούς στόχους. Επιπλέον, η αρχική εκμετάλλευση είναι μικροσκοπική και εύκολα μεταμφιεσμένη ως αρχείο του Office.

Όπως πάντα, βεβαιωθείτε ότι έχετε κρατήσει το σύστημά σας ενημερωμένο και σκεφτείτε να επενδύσετε σε Malwarebytes Premium - αξίζει τον κόπο. 5 λόγοι για να αναβαθμίσετε το Malwarebytes Premium: Ναι, αξίζει τον κόπο 5 λόγοι για την αναβάθμιση σε Malwarebytes Premium: Ναι, αξίζει τον κόπο η δωρεάν έκδοση του Malwarebytes είναι τρομερή, η έκδοση premium έχει μια δέσμη χρήσιμων και αξιόλογων χαρακτηριστικών. Διαβάστε περισσότερα !

Εξερευνήστε περισσότερα σχετικά με τα εξής: Jargon, Malware, Modular Malware, Δούρειος ίππος.