Bezpečnost

Vědci z bezpečnostního dodavatele FireEye odhalili novou pokročilou trvalou hrozbu (APT), která využívá několik technik detekce úniků včetně monitorování kliknutí myší určení aktivní interakce člověka s infikovaným počítačem

nazvaný Trojan.APT.BaneChant, malware je distribuován pomocí dokumentu Word vyškoleného s exploitem odeslaným během cílených e-mailových útoků. Název dokumentu se převádí na "islámský džihád.doc".

"Máme podezření, že tento zbraňový dokument byl zacílen na vlády Blízkého východu a Střední Asie," řekl výzkumník společnosti FireEye Chong Rong Hwa pondělí na blogu.

[Další čtení: Jak odstranit malware z počítače se systémem Windows]

Vícestupňový útok

Útok funguje ve více fázích. Škodlivý dokument stáhne a spouští součást, která se pokouší zjistit, zda je operační prostředí virtualizované, jako je antivirová karanténa nebo automatizovaný systém pro analýzu škodlivého softwaru. Čekejte na to, zda je aktivita myši před zahájením druhé fáze útoku. > Monitorování kliknutí myší není novou technikou detekce úniků, ale malware, který je používán v minulosti, obvykle kontroluje jedno kliknutí myší, řekl Rong Hwa. BaneChant čeká na nejméně tři kliknutí myší, než začne dešifrovat adresu URL a stáhnout backdoor program, který se maskuje jako soubor obrázků.jpg

Malware také používá další metody detekce úniků. Například během první fáze útoku škodlivý dokument stáhne komponentu dropper z adresy URL ow.ly. Ow.ly není škodlivou doménou, ale je služba zkrácení adres URL.

Důvodem použití této služby je vynechat služby blacklistu adres URL, které jsou aktivní v cílovém počítači nebo v jeho síti, řekl Rong Hwa. (Viz také část "Spammers abuse.gov Služba zkrácení adres URL u podvodů typu work-at-home." Podobně během druhé fáze útoku je soubor škodlivého souboru.jpg stažen z adresy URL vygenerované pomocí dynamického No-IP Služba DNS (Domain Name System)

Po načtení prvního komponentu do souboru ".jpg" do složky "C: ProgramData Google2 \" dojde ke kopírování samotné s názvem GoogleUpdate.exe. do souboru ve spouštěcí složce uživatele, aby byla zajištěna jeho realizace po každém restartování počítače.

Jedná se o pokus o podezření, že soubor je součástí aktualizace služby Google, což je legitimní program, který je běžně instalován pod heslem "C: Program Files Google Update \", říká Rong Hwa

Backdoor program shromažďuje a načítá systémové informace zpět na server příkazu a řízení. další soubory na infikovaných počítačích.

Protože obranné technologie postupují, malware také e "řekl Rong Hwa. V tomto případě malware použil řadu triků, včetně vyloučení analýzy pískovců zjištěním lidského chování, vyhýbání se technologií binárního extrahování na úrovni sítě provedením vícebajtového XOR šifrování spustitelných souborů, maskování jako legitimní proces, vyloučení forenzní analýzy pomocí souboru fileless škodlivý kód načtený přímo do paměti a zabránění automatizované doméně černé listiny pomocí přesměrování prostřednictvím zkrácení URL a dynamických služeb DNS