- Porównanie
- Ćwiczenia
- Nowe złośliwe oprogramowanie dla systemu Windows 10 świetnie radzi sobie z unikaniem wykrycia
Badacze bezpieczeństwa z firmy Kaspersky odkryli nową odmianę szkodliwego oprogramowania opracowanego przez grupę hakerską DeathStalker, której zadaniem było uniknięcie wykrycia na komputerach z systemem Windows. Chociaż ugrupowanie zagrażające jest aktywne co najmniej od 2012 r., DeathStalker po raz pierwszy przykuł uwagę firmy Kaspersky w 2018 r. ze względu na jego charakterystyczną charakterystykę ataku, różniącą się od tych stosowanych przez cyberprzestępców. Hakerzy sponsorowani przez państwo. Wiadomo, że grupa wykorzystuje w swoich atakach szeroką gamę odmian złośliwego oprogramowania i złożone łańcuchy dystrybucji, ale to, co naprawdę ją wyróżnia, to taktyka stosowana w celu uniknięcia wykrycia. Kaspersky odkrył nowy implant PowerPepper firmy DeathStalker w maju tego roku, badając inne ataki z wykorzystaniem implantu Powersing opartego na PowerShell. Od czasu odkrycia grupa opracowała i wdrożyła nowe wersje programu PowerPepper, który dostosował także łańcuchy dystrybucji złośliwego oprogramowania do atakowania nowych celów.
Złośliwe oprogramowanie PowerPepper
Nowe szkodliwe oprogramowanie PowerPepper to ukryty w pamięci backdoor programu Windows PowerShell, który umożliwia operatorom zdalne wykonywanie poleceń powłoki z serwera dowodzenia i kontroli (C2). Podobnie jak w przypadku poprzedniej pracy DealthStalker, PowerPepper próbuje uniknąć wykrycia lub uruchomienia piaskownicy w systemie Windows 10, używając różnych sztuczek, takich jak wykrywanie ruchu myszy, filtrowanie adresu MAC klienta i dostosowywanie przepływu wykonywania do produktów antywirusowych zainstalowanych w systemie docelowym. . Szkodnik rozprzestrzenia się za pośrednictwem załączników do wiadomości e-mail typu spear phishing lub za pośrednictwem łączy do dokumentów zawierających złośliwe makra języka Visual Basic for Applications (VBA), które uruchamiają program PowerPepper i uzyskują trwałość w zainfekowanych systemach. PowerPepper wykorzystuje także szereg obejść łańcucha dostaw, takich jak ukrywanie ładunków we właściwościach osadzonych kształtów programu Word, używanie skompilowanych w systemie Windows plików HTML (CHM) jako archiwów dla złośliwych plików, ukrywanie i zaciemnianie trwałych plików, ukrywanie ładunków w obrazach przy użyciu steganografii, gubienie się w tłumaczeniu i wykonywanie poleceń powłoki systemu Windows poprzez wykonanie podpisanego binarnego serwera proxy. Pierre Delcher z firmy Kaspersky w nowym raporcie podał dodatkowe informacje na temat sposobu, w jaki PowerPepper komunikuje się ze swoim serwerem C2: „Logika C2 implantu wyróżnia się, ponieważ opiera się na komunikacji za pośrednictwem DNS przez HTTPS (DoH) z wykorzystaniem obiektów odpowiadających CloudFlare. PowerPepper najpierw próbuje wykorzystać program Microsoft Excel jako klienta sieciowego do wysyłania zapytań DoH do serwera C2, ale jeśli wiadomości nie mogą dotrzeć, powróci do standardowego klienta sieciowego PowerShell, a ostatecznie do zwykłej komunikacji DNS. „Aby nie paść ofiarą PowerPeppera, użytkownicy powinni unikać otwierania załączników i klikania linków w e-mailach od nieznanych nadawców, a także włączania makr w dokumentach pochodzących z niepotwierdzonych źródeł. Za pośrednictwem BleepingComputer