Hirdetés

A rosszindulatú programok minden formában és méretben kaphatók. Ezenkívül az évek során jelentősen megnőtt a rosszindulatú programok kifinomulása. A támadók rájönnek, hogy a rosszindulatú csomag minden aspektusának egyetlen hasznos teherbe történő beillesztése nem mindig a leghatékonyabb módszer.

Az idő múlásával a rosszindulatú programok modulárissá váltak. Vagyis egyes rosszindulatú programok változatai különféle modulokat használhatnak annak megváltoztatására, hogy azok miként befolyásolják a célrendszert. Tehát mi a moduláris rosszindulatú program és hogyan működik?

Mi a moduláris malware?

A moduláris malware fejlett fenyegetés, amely a rendszert különböző szakaszokban támadja meg. A bejárati ajtón keresztüli robbantás helyett a moduláris rosszindulatú szoftverek finomabb megközelítést alkalmaznak.

Ezt úgy teszi meg, hogy először csak az alapvető elemeket telepíti. Ezután ahelyett, hogy rajongást idéz elő, és figyelmeztette a felhasználókat annak jelenlétére, az első modul felkutatja a rendszer és a hálózat biztonságát; ki a felelős, milyen védelem működik, ahol a rosszindulatú programok találhatnak sebezhetőségeket, hogy melyik kihasználóknak van a legnagyobb esélye a sikerre stb.

instagram viewer

Miután sikeresen kigondolta a helyi környezetet, az első szakaszban lévő rosszindulatú programok tárcsázhatják a parancsnoki és vezérlő (C2) szerverüket. A C2 ezután további utasításokat küldhet további malware modulokkal együtt annak érdekében, hogy kihasználja az adott környezet működését, amelyben a rosszindulatú programok működnek.

A moduláris malware számos előnnyel rendelkezik, szemben a rosszindulatú szoftverekkel, amelyek teljes funkcionalitását egyetlen hasznos teherbe csomagolják.

  • A rosszindulatú programok szerzője gyorsan megváltoztathatja a rosszindulatú programok aláírását, hogy elkerülje a víruskeresőket és más biztonsági programokat.
  • A moduláris malware széles körű funkcionalitást tesz lehetővé számos környezetben. Ennek során a szerzők reagálhatnak konkrét célokra, vagy alternatívaként külön modulokat jelölhetnek meg egy adott környezetben történő felhasználásra.
  • A kezdeti modulok apróak, és kissé könnyebben eltávolíthatók.
  • Több malware modul kombinálásával a biztonsági kutatók kitalálhatják, hogy mi fog következni.

A moduláris rosszindulatú programok nem jelentenek hirtelen új veszélyt. A rosszindulatú programok fejlesztői már hosszú ideje hatékonyan használják a moduláris rosszindulatú programokat. A különbség az, hogy a biztonsági kutatók modulárisabb rosszindulatú programokat találnak sokféle helyzetben. A kutatók felfedezték a hatalmas Necurs botnetet is (amely hírhedt a Dridex és Locky ransomware változatok terjesztésére), amely moduláris malware hasznos terheléseket terjeszt. (Egyébként mi a botnet? Mi a botnet, és a számítógép része az egyiknek?A botnetek a rosszindulatú programok, a ransomware, a spam és egyebek fő forrása. De mi a botnet? Hogyan jönnek létre? Ki irányítja őket? És hogyan lehet megállítani őket? Olvass tovább )

Moduláris malware példák

Van néhány nagyon érdekes moduláris malware-példa. Itt van néhány fontolóra vehető.

VPNFilter

A VPNFilter egy nemrégiben megjelenő rosszindulatú program, amely útválasztókat és tárgyak internete (IoT) eszközöket támad meg. A rosszindulatú program három szakaszban működik.

Az első szakasz rosszindulatú programja kapcsolatba lép egy parancs- és vezérlőszerverrel a második szakasz moduljának letöltéséhez. A második szakasz modul adatgyűjtést végez, parancsokat hajt végre, és zavarhatja az eszközkezelést (ideértve az útválasztó, IoT vagy NAS eszköz „átalakítását”). A második szakasz letöltheti a harmadik szakasz moduljait is, amelyek úgy működnek, mint a második szakasz pluginjai. A harmadik szakasz moduljai tartalmaznak egy SCNA forgalomhoz használt csomagszippantót, egy csomag-befecskendező modult és egy modult, amely lehetővé teszi a 2. szakasz rosszindulatú programjainak a Tor hálózaton keresztüli kommunikációját.

tudsz Tudjon meg többet a VPNFilterről, honnan származik, és hogyan tudja észrevenni pont itt.

Moduláris rosszindulatú szoftverek: Az új, lopakodó támadás az adatok ellopása vpnfilter malware kiszolgálói infrastruktúrája

T9000

A Palo Alto Networks biztonsági kutatói fedetlen a T9000 rosszindulatú program (nincs kapcsolat a Terminátorral vagy a Skynettel... vagy igaz?!).

A T9000 egy intelligencia és adatgyűjtő eszköz. A telepítés után a T9000 lehetővé teszi a támadók számára, hogy „titkosított adatokat gyűjtsenek, képernyőképeket készítsenek meghatározott alkalmazásokról, és kifejezetten a Skype felhasználókat célozzák meg”, valamint a Microsoft Office termékfájljait is. A T9000 különféle modulokkal rendelkezik, amelyek akár 24 különféle biztonsági termék elkerülésére szolgálnak, és a telepítés folyamatát úgy változtatják meg, hogy a radar alatt maradjon.

DanaBot

A DanaBot egy többlépcsős banki trójai, különféle pluginekkel, amelyeket a szerző használ a funkcionalitás kibővítéséhez. (Hogyan kell gyorsan és hatékonyan foglalkozzon a távoli elérésű trójaiakkal. Hogyan lehet egyszerűen és hatékonyan foglalkozni a távoli hozzáférésű trójaiakkalGyanakszik? Ha úgy gondolja, hogy egy távoli hozzáférésű trójai megfertőződött, akkor egyszerűen megszabadulhat tőle az alábbi egyszerű lépések végrehajtásával. Olvass tovább ) Például, 2018 májusában a DanaBot foltos volt az ausztrál bankok elleni támadások sorozatában. Abban az időben a kutatók felfedeztek egy csomagszippantási és -injekciós plugint, egy VNC távoli megtekintési plugint, egy adatgyűjtő plugint és egy Tor plug-ot, amely lehetővé teszi a biztonságos kommunikációt.

„A DanaBot banki trójai, ami azt jelenti, hogy feltétlenül földrajzilag célzott mértékben”, olvassa a Proofpoint DanaBot blogbejegyzését. „A nagy volumenű szereplők általi elfogadás azonban, amint azt az amerikai kampányban láttuk, az aktív fejlesztésre, a földrajzi kiterjesztésre és a folyamatos fenyegető szereplők érdeklődésére utal a rosszindulatú programok iránt. Maga a rosszindulatú program számos elemzést gátló funkciót, valamint frissített stealer és távirányító modulokat tartalmaz, tovább növelve vonzerejét és hasznosságát a fenyegető szereplők számára. ”

Marap, AdvisorsBot és CobInt

Három moduláris malware variációt egyesítek egy részben, ahogyan a Proofpoint fantasztikus biztonsági kutatói mindháromat felfedezték. A moduláris rosszindulatú szoftverek változatai hasonlóak, de eltérő felhasználási lehetőségek vannak. Ezenkívül a CobInt egy kampány részét képezi a Cobalt-csoportnak, egy bűnszervezetnek, amely a bank- és pénzügyi kiberbűnözés hosszú listájához kötődik.

A Marap-ot és az AdvisorsBot-t egyaránt észrevették a védelmi és hálózati feltérképezés célrendszereinek meghatározásában, és arról, hogy a rosszindulatú programoknak meg kell-e tölteniük a teljes hasznos teher-t. Ha a célrendszer elegendő érdeklõdést mutat (például van értéke), akkor a rosszindulatú program felszólítja a támadás második szakaszát.

A többi moduláris malware változathoz hasonlóan a Marap, az AdvisorsBot és a CobInt háromlépéses folyamatot követ. Az első szakasz általában egy fertőzött melléklettel rendelkező e-mail, amely a kezdeti kihasználást hordozza. Ha a kizsákmányolás végrehajtódik, a rosszindulatú program azonnal kéri a második lépést. A második szakasz a felderítő modult tartalmazza, amely felméri a célrendszer biztonsági intézkedéseit és hálózati táját. Ha a rosszindulatú program úgy véli, hogy minden megfelelő, akkor a harmadik és az utolsó modul letöltődik, beleértve a fő hasznos terhet.

A következők ellenőrzőpontjának anaylsis:

  • Marap
  • AdvisorBot (és PoshAdvisor)
  • CobIn

Súlyos testi sértés

A Mayhem egy kissé régebbi moduláris rosszindulatú változat, először 2014-ben jelent meg. A Mayhem azonban továbbra is nagyszerű moduláris malware-példa. A rosszindulatú programok, fedetlen a Yandex biztonsági kutatói, Linux és Unix webszervereket céloznak meg. A rosszindulatú PHP szkript segítségével telepíti.

A telepítés után a szkript számos olyan plugint képes meghívni, amelyek meghatározzák a rosszindulatú programok végső felhasználását.

A beépülő modulok tartalmaznak egy brute force jelszó-krakkolót, amely az FTP, a WordPress és a Joomla fiókokat célozza meg bejáró más kiszolgáltatott kiszolgálók keresésére, és egy eszköz, amely kihasználja a Heartbleed OpenSLL-t sebezhetőség.

DiamondFox

Végső moduláris malware változatunk is az egyik legteljesebb. Néhány okból ez is az egyik leginkább aggasztó.

Első ok: A DiamondFox egy moduláris botnet, amely különféle föld alatti fórumokon használható. A potenciális számítógépes bűnözők megvásárolhatják a DiamondFox moduláris botnet csomagot, hogy hozzáférjenek a fejlett támadási lehetőségek széles skálájához. Az eszközt rendszeresen frissítik, és az összes jó online szolgáltatáshoz hasonlóan személyre szabott ügyfél-támogatást nyújtanak. (Még változási naplóval is rendelkezik!)

Második ok: A DiamondFox moduláris botnet számos bővítménnyel rendelkezik. Ezeket egy irányítópulton keresztül lehet be- és kikapcsolni, amely intelligens otthoni alkalmazásként nem lenne helyén. A beépülő modulok tartalmaznak személyre szabott kémprogramokat, hitelesítő adatok ellopására szolgáló eszközöket, DDoS eszközöket, keyloggereket, spamküldőket és még egy RAM kaparót is.

Figyelem: a következő videó olyan zenét tartalmaz, amelyben élvezheti vagy nem élvezheti.

Moduláris malware támadás leállítása

Jelenleg egyetlen speciális eszköz sem védi meg a moduláris malware változatokat. Néhány moduláris malware változatnak földrajzi hatálya korlátozott. Például a Marap, az AdvisorsBot és a CobInt elsősorban Oroszországban és a FÁK államokban található meg.

A Proofpoint kutatói mindazonáltal rámutattak, hogy a jelenlegi földrajzi korlátozások ellenére is, ha vannak a bűnözők egy ilyen megalapozott bűnözői szervezetet moduláris rosszindulatú szoftverekkel látnak, mások minden bizonnyal követni fogják öltöny.

Fontos a tudatosság, hogy a moduláris malware hogyan érkezik a rendszerére. A többség fertőzött e-mail mellékleteket használ, általában egy rosszindulatú VBA szkripttel rendelkező Microsoft Office dokumentumot tartalmaz. A támadók ezt a módszert használják, mert a fertőzött e-maileket egyszerűen el lehet küldeni potenciális célpontok millióinak. Ezenkívül a kezdeti kihasználás apró, és könnyen elrejthető Office-fájlként.

Mint mindig, ügyeljen arra, hogy rendszere naprakész legyen, és fontolja meg a Malwarebytes Premiumba történő befektetést - megéri 5 ok a Malwarebytes Premium verzióra való frissítésre: Igen, megériNoha a Malwarebytes ingyenes verziója fantasztikus, a prémium verziónak sok-sok hasznos és érdemes funkciója van. Olvass tovább !

Gavin a MUO vezető írója. Ezenkívül a MakeUseOf kripto-központú testvérhelyének, a Blocks Decoded szerkesztője és SEO menedzserje. Van egy BA (Hons) kortárs írása digitális művészeti gyakorlatokkal, amelyeket Devon dombjaiból ölelnek fel, valamint több mint egy évtizedes szakmai tapasztalattal rendelkezik. Nagyon sok teát fogyaszt.