Na obzoru se objevují nové hrozby, třeste se! – 6. díl

Tento silně polymorfní a persistentní drive-by download malware zneužívá zero-day zranitelností a nezbavíte se ho ani zformátováním disku a reinstalací systému.

Činnost, kterou pak provádí, se odvíjí od toho, jaké instrukce obdrží z C&C serveru, a v jakém prostředí se nachází.

Kromě toho, že se tento malware ihned neprojeví a dává si skutečně načas, než začne vůbec něco provádět, tak se také stalo už naprostou samozřejmostí, že kontroluje prostředí, ve kterém je spouštěn, a používá k tomu nejrůznější metody.

Od těch nejprimitivnějších, ale přesto poměrně účinných, jako je výskyt určitých záznamů v registrech, analýza běžících procesů a pokračujíc přes počítání jader procesorů, až po ty poměrně sofistikované, mezi které patří sledování činnosti uživatele.

Právě posledně jmenované činnosti, tj. zda dochází k pohybu myši, klikání, stisku kláves, přepínání mezi programy a surfování po internetu, jsou něčím, k čemu v sandboxu a ve virtuálních strojích postavených jen za účelem analýzy malware, zpravidla nikdy nedochází.

To je hlavní příčinnou toho, že se malware v testovacím prostředí vůbec neprojeví, a tudíž daný soubor není detekován jako škodlivý kód. Jestli tedy vytváříte enginy pro detekci malware, anebo ho analyzujete, myslete na to.

Naprosto běžná je dnes už šifrovaná komunikace s C&C serverem, kterým je stále častěji nějaký kompromitovaný nebo hojně navštěvovaný web, přičemž odpověď bývá umně schovaná v obrázku, zakódována pomocí BASE64 v naprosto běžné odpovědi serveru.

Např. HTTP 404 Error, který uživateli říká, že stránka, kterou požadoval, nebyla na daném serveru nalezena, a ta se v záplavě jiných chyb snadno ztratí a málokdo ji v logu bude věnovat pozornost. Jedná se dnes již o poměrně známou techniku, ale přesto stále funkční, více zde.

Sílou tohoto malwaru je mimo jiné i ve využití různorodých metod komunikace, čímž nedochází ke vzniku nežádoucích anomálií na síti v podobě zvýšeného počtu chyb, nestandardní komunikace apod. Nemnohá NBA řešení  tak nejsou schopna tuto komunikaci, která se ničím nevymyká běžnému provozu, detekovat a přítomnost tohoto malwaru, který může provádět prakticky cokoliv, odhalit.

Ona persistence pak spočívá v tom, že je tento malware schopen přepsat firmware, vytvořit vlastní zavaděč, a případně se i uložit do cloudu. Takže při obnově dat ho máte zase pěkně zpátky.

Zdá se, že to, co bylo donedávna používáno jen v rámci APT útoků na SCADA systémy, se díky úniku zdrojových kódů pomalu stává běžnou technikou.


Pokud vás tento příspěvek zaujal, sdílejte ho!
Share on FacebookShare on LinkedInTweet about this on TwitterShare on Google+Email this to someonePrint this page

Štítky: , ,


K článku “Na obzoru se objevují nové hrozby, třeste se! – 6. díl” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: