Na obzoru se objevují nové hrozby, třeste se! – 6. díl
Tento silně polymorfní a persistentní drive-by download malware zneužívá zero-day zranitelností a nezbavíte se ho ani zformátováním disku a reinstalací systému.
Činnost, kterou pak provádí, se odvíjí od toho, jaké instrukce obdrží z C&C serveru, a v jakém prostředí se nachází.
Kromě toho, že se tento malware ihned neprojeví a dává si skutečně načas, než začne vůbec něco provádět, tak se také stalo už naprostou samozřejmostí, že kontroluje prostředí, ve kterém je spouštěn, a používá k tomu nejrůznější metody.
Od těch nejprimitivnějších, ale přesto poměrně účinných, jako je výskyt určitých záznamů v registrech, analýza běžících procesů a pokračujíc přes počítání jader procesorů, až po ty poměrně sofistikované, mezi které patří sledování činnosti uživatele.
Právě posledně jmenované činnosti, tj. zda dochází k pohybu myši, klikání, stisku kláves, přepínání mezi programy a surfování po internetu, jsou něčím, k čemu v sandboxu a ve virtuálních strojích postavených jen za účelem analýzy malware, zpravidla nikdy nedochází.
To je hlavní příčinnou toho, že se malware v testovacím prostředí vůbec neprojeví, a tudíž daný soubor není detekován jako škodlivý kód. Jestli tedy vytváříte enginy pro detekci malware, anebo ho analyzujete, myslete na to.
Naprosto běžná je dnes už šifrovaná komunikace s C&C serverem, kterým je stále častěji nějaký kompromitovaný nebo hojně navštěvovaný web, přičemž odpověď bývá umně schovaná v obrázku, zakódována pomocí BASE64 v naprosto běžné odpovědi serveru.
Např. HTTP 404 Error, který uživateli říká, že stránka, kterou požadoval, nebyla na daném serveru nalezena, a ta se v záplavě jiných chyb snadno ztratí a málokdo ji v logu bude věnovat pozornost. Jedná se dnes již o poměrně známou techniku, ale přesto stále funkční, více zde.
Sílou tohoto malwaru je mimo jiné i ve využití různorodých metod komunikace, čímž nedochází ke vzniku nežádoucích anomálií na síti v podobě zvýšeného počtu chyb, nestandardní komunikace apod. Nemnohá NBA řešení tak nejsou schopna tuto komunikaci, která se ničím nevymyká běžnému provozu, detekovat a přítomnost tohoto malwaru, který může provádět prakticky cokoliv, odhalit.
Ona persistence pak spočívá v tom, že je tento malware schopen přepsat firmware, vytvořit vlastní zavaděč, a případně se i uložit do cloudu. Takže při obnově dat ho máte zase pěkně zpátky.
Zdá se, že to, co bylo donedávna používáno jen v rámci APT útoků na SCADA systémy, se díky úniku zdrojových kódů pomalu stává běžnou technikou.
Štítky: APT, malware, nové hrozby
K článku “Na obzoru se objevují nové hrozby, třeste se! – 6. díl” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.