Aktuální trend ve vývoji malware

Malware se v zásadě šíří e-mailem, přes nakažené aplikace na nejrůznějších úložištích a v neposlední řadě pak přes web, kdy se jedná o tzv. drive by download malware, který nevyžaduje žádnou interaktivitu ze strany uživatele.

Právě posledně jmenovaný vektor útoku doznal v posledních měsících jisté změny.

Klesá počet zero day zranitelností v prohlížečích, především v důsledku poklesu počtu instalací Adobe Flash Playeru, který těmito zranitelnostmi nejvíce trpěl a stále trpí. Pokles počtu instalací pak souvisí především s dalším poklesem počtu webů a uživatelů, které Flash aktivně používají, a na které lze cílit.

Počet webů, které mají na svých stránkách nějaké flashové animace celosvětově poklesl za poslední rok o další 2 %, takže nyní je Flash provozován na nějakých 5 % webů. Běžný uživatele tak již zpravidla nemá důvod na svém počítači Flash provozovat, případně může učinit jeho provozování bezpečnější.

Nicméně i přes tento pokles jsou exploity kity zneužívající známé zranitelnosti stále ve hře, místo k šíření ransomware jsou však zneužívány k šíření cryptocurrency minérů, případně dochází spolu s instalací těchto cryptocurrency minérů i k instalaci ransomware. Ransomware je pak v tomto případě použit jen jako taková kouřová clona.

Ransomware totiž nijak svou přítomnost na napadeném systému nemaskuje, a naopak se hlasitě projevuje. Ve výsledku pak dojde k jeho úspěšné detekci a odstranění. Oběť si myslí, že došlo k úspěšnému odstranění infekce, nicméně cryptocurrency miner je na jejím zařízení stále přítomen.

Cryptocurrency minery jsou však schopny těžit cryptoměnu i na zařízeních připojených do internetu, aniž by se musely instalovat. Stačí jim k tomu spustit na koncovém zařízení JS a ten obvykle bývá povolen. JS může být navíc silně obfuskován, takže nemusí být antimalwarem správně detekován, anebo se naopak může nacházet v otevřeném tvaru, což může některé AV rovněž zmást, což jsme prakticky ověřili v rámci našeho nedávného výzkumu.

Cryptocurrency minery jsou začleňovány útočníky do špatně zabezpečených webových stránek anebo je jejich kód doručován na koncová zařízení prostřednictvím reklamních sítí. Pro tuto techniku maskování se začíná prosazovat pojem cryptojacking. Vzhledem k tomu, že tento kód potřebuje komunikovat se serverem, tak jsme mohli snadno detekovat doménu, se kterou se JS snažil navázat spojení.

Zpočátku stačilo blokovat JS, které se jmenovaly coinhive.min.js a snažily se připojovat na coin-hive.com, jenže později útočníci začali přidávat i další domény a správa blacklistovaných domén se stávala náročnější. Tento přístup vzal za své v okamžiku, kdy útočníci začali používat pro generování domén algoritmus DGA.

Tato technika spočívá v rychlém generování domén a v kombinaci s technikou FastFlux DNS, kterou používá především malware, je pak možné směrovat dotazy sice na fyzicky stejný server, ale bez spolupráce se správcem DNS není možné přístup na daný server zablokovat.

Byť se na první pohled může zdát, že cryprocurrency minery jsou neškodné, neboť jen zatěžují CPU, tak mohou mít dalekosáhlé následky. Některé varianty jsou totiž natolik agresivní, že se snaží maximálně využít všechny aktuálně dostupné zdroje. To může vést k vytížení CPU na 100 %, pádu systému, zpomalení ostatních aplikací anebo nemožnosti dané zařízení po určitou ovládat.

Řešení je nasnadě, aktualizovat a instalovat včas záplaty, používat kvalitní antimalware, neklikat na přílohy a odkazy v nevyžádaných e-mailech, anebo vůbec pro přístup do internetu používat dedikovaný stroj, ze kterého není možné přistupovat k interním systémům organizace. Vzhledem k tomu, že předem není zřejmé, na jakém webu se malware objeví, nabízí se např. ze stanic, které slouží ke správě KII a VIS, do internetu vůbec nepřistupovat.

Máte možnost ze stanic, které slouží ke správě KII nebo VIS přistupovat do internetu?

Nahrávání ... Nahrávání ...
Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:


K článku “Aktuální trend ve vývoji malware” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: