Na obzoru se objevují nové hrozby, třeste se! – 6. díl

Tento silně polymorfní a persistentní drive-by download malware zneužívá zero-day zranitelností a nezbavíte se ho ani zformátováním disku a reinstalací systému.

Činnost, kterou pak provádí, se odvíjí od toho, jaké instrukce obdrží z C&C serveru, a v jakém prostředí se nachází.

Kromě toho, že se tento malware ihned neprojeví a dává si skutečně načas, než začne vůbec něco provádět, tak se také stalo už naprostou samozřejmostí, že kontroluje prostředí, ve kterém je spouštěn, a používá k tomu nejrůznější metody.

Od těch nejprimitivnějších, ale přesto poměrně účinných, jako je výskyt určitých záznamů v registrech, analýza běžících procesů a pokračujíc přes počítání jader procesorů, až po ty poměrně sofistikované, mezi které patří sledování činnosti uživatele.

Právě posledně jmenované činnosti, tj. zda dochází k pohybu myši, klikání, stisku kláves, přepínání mezi programy a surfování po internetu, jsou něčím, k čemu v sandboxu a ve virtuálních strojích postavených jen za účelem analýzy malware, zpravidla nikdy nedochází.

To je hlavní příčinnou toho, že se malware v testovacím prostředí vůbec neprojeví, a tudíž daný soubor není detekován jako škodlivý kód. Jestli tedy vytváříte enginy pro detekci malware, anebo ho analyzujete, myslete na to.

Naprosto běžná je dnes už šifrovaná komunikace s C&C serverem, kterým je stále častěji nějaký kompromitovaný nebo hojně navštěvovaný web, přičemž odpověď bývá umně schovaná v obrázku, zakódována pomocí BASE64 v naprosto běžné odpovědi serveru.

Např. HTTP 404 Error, který uživateli říká, že stránka, kterou požadoval, nebyla na daném serveru nalezena, a ta se v záplavě jiných chyb snadno ztratí a málokdo ji v logu bude věnovat pozornost. Jedná se dnes již o poměrně známou techniku, ale přesto stále funkční, více zde.

Sílou tohoto malwaru je mimo jiné i ve využití různorodých metod komunikace, čímž nedochází ke vzniku nežádoucích anomálií na síti v podobě zvýšeného počtu chyb, nestandardní komunikace apod. Nemnohá NBA řešení  tak nejsou schopna tuto komunikaci, která se ničím nevymyká běžnému provozu, detekovat a přítomnost tohoto malwaru, který může provádět prakticky cokoliv, odhalit.

Ona persistence pak spočívá v tom, že je tento malware schopen přepsat firmware, vytvořit vlastní zavaděč, a případně se i uložit do cloudu. Takže při obnově dat ho máte zase pěkně zpátky.

Zdá se, že to, co bylo donedávna používáno jen v rámci APT útoků na SCADA systémy, se díky úniku zdrojových kódů pomalu stává běžnou technikou.

[ssba]

Štítky: , ,


K článku “Na obzoru se objevují nové hrozby, třeste se! – 6. díl” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: