Вредоносное программное обеспечение ( вредоносное ПО ) атакует в самых разных формах и масштабах. Кроме того, с течением времени сложность вредоносного ПО значительно изменилась. Злоумышленники понимают, что попытка внедрить в систему весь пакет вредоносного ПО сразу — не всегда самый эффективный способ.
Со временем вредоносное ПО стало модульным. Некоторые варианты вредоносного ПО могут использовать разные модули, чтобы изменить свое воздействие на целевую систему. Так что же такое модульное вредоносное ПО и как оно работает? Давайте узнаем это из следующей статьи!
Модульное вредоносное ПО — новый метод скрытой атаки для кражи данных.
Модульное вредоносное ПО представляет собой опасную угрозу, атакующую систему на разных этапах. Вместо прямой атаки модуль вредоносного ПО использует вторичный подход.
Это достигается путем установки только основных компонентов. Тогда, вместо того, чтобы создавать фанфары и предупреждать пользователей о своем присутствии, первый модуль нацелен на систему и кибербезопасность; какие части несут основную ответственность, какой тип метода защиты применяется, где вредоносное ПО может найти уязвимости, какие эксплойты имеют наибольшие шансы на успех и т. д.
После успешного обнаружения локальной среды модуль вредоносного ПО первой стадии может взаимодействовать со своим сервером управления и контроля (C2). Затем C2 может отреагировать, отправив дальнейшие инструкции вместе с дополнительными модулями вредоносного ПО, чтобы воспользоваться преимуществами конкретной среды, в которой работает вредоносное ПО.
Модульное вредоносное ПО более выгодно, чем вредоносное ПО, которое объединяет все функции в одну полезную нагрузку, а именно:
Модульное вредоносное ПО не является новой угрозой. Разработчики вредоносного ПО уже давно эффективно используют модульные вредоносные программы. Разница в том, что исследователи безопасности сталкиваются с большим количеством вредоносных модулей в самых разных ситуациях. Исследователи также обнаружили массивный ботнет Necurs (печально известный распространением вариантов программ-вымогателей Dridex и Locky ), распространяющий вредоносные модули.
Есть несколько очень интересных примеров вредоносных модулей. Вот несколько из них.
VPNFilter — это новейшая версия вредоносного ПО, которое атакует маршрутизаторы и устройства Интернета вещей (IoT) . Эта вредоносная программа работает в три этапа.
Вредоносная программа первой стадии обращается к серверу управления и контроля для загрузки модуля второй стадии. Модуль второго этапа собирает данные, выполняет команды и может вмешиваться в управление устройствами (включая возможность «заморозить» маршрутизатор, устройство IoT или NAS). Второй этап также может загружать модули третьего этапа, которые действуют как плагины для второго этапа. Трехэтапный модуль включает в себя пакет обнаружения трафика SCADA, модуль заражения и модуль, позволяющий вредоносному ПО второй стадии взаимодействовать с использованием сети Tor .
Вы можете узнать больше о VPNFilter из следующей статьи: Как обнаружить вредоносное ПО VPNFilter до того, как оно уничтожит маршрутизатор.
Исследователи безопасности Palo Alto Networks обнаружили вредоносное ПО T9000 (не связанное с Терминатором или Скайнетом).
T9000 — это инструмент сбора информации и данных. После установки T9000 позволяет злоумышленникам «перехватывать зашифрованные данные, делать снимки экрана определенных приложений и целенаправленно атаковать пользователей Skype », а также файлы продуктов Microsoft Office. T9000 поставляется с различными модулями, предназначенными для обхода 24 различных продуктов безопасности, что позволяет изменить процесс установки, чтобы оставаться незамеченным.
DanaBot — многоэтапный банковский троян с различными плагинами, которые злоумышленники используют для расширения своей функциональности. Например, в мае 2018 года DanaBot был обнаружен в серии атак на австралийские банки. В то время исследователи обнаружили набор плагинов для обнаружения заражений, плагин удаленного просмотра VNC, плагин сбора данных и плагин Tor, обеспечивающий защищенную связь.
«DanaBot — это банковский троян, а это означает, что он обязательно в некоторой степени ориентирован на географическое положение», — говорится в блоге Proofpoint DanaBot. «Несмотря на многочисленные меры предосторожности, которые мы видели во время кампании в США, по-прежнему легко увидеть активный рост, географическое расширение и изощренность вредоносных программ. Сама вредоносная программа содержит несколько функций антианализа, а также регулярно обновляемые модули кражи информации и удаленного управления, что повышает ее угрозу для целей».
В статье три варианта вредоносного модуля объединены в один раздел, поскольку замечательные исследователи безопасности из Proofpoint исследовали все три одновременно. Эти варианты модулей вредоносного ПО похожи, но имеют разное применение. Кроме того, CobInt является частью кампании Cobalt Group, преступной организации, связанной с длинным списком киберпреступников в банковском и финансовом секторе.
Marap и AdvisorsBot были созданы для защиты всей целевой системы и составления карты сети, а затем определения, должно ли вредоносное ПО загружать всю полезную нагрузку. Если целевая система удовлетворяет потребности (например, имеет ценность), вредоносное ПО переходит ко второй фазе атаки.
Как и другие версии вредоносных модулей, Marap, AdvisorsBot и CobInt используют трехэтапный процесс. Первым этапом обычно является электронное письмо с вложением, зараженным вредоносным ПО для первоначальной цели эксплуатации. Если эксплойт реализован, вредоносная программа немедленно запрашивает второй этап. На втором этапе имеется модуль разведки для оценки мер безопасности и сетевого ландшафта целевой системы. Если вредоносная программа сообщает, что все в порядке, на последнем этапе загружается третий модуль, включая основную полезную нагрузку.
Mayhem — это немного более старая версия вредоносного модуля. Впервые он появился в 2014 году. Однако Mayhem по-прежнему является примером отличного модульного вредоносного ПО. Вредоносное ПО, обнаруженное исследователями безопасности из Яндекса, нацелено на веб-серверы Linux и Unix. Он устанавливается через вредоносный PHP-скрипт.
После установки скрипт может вызывать несколько плагинов, определяющих оптимальное использование вредоносного ПО.
Плагины включают в себя взломщик паролей методом перебора , нацеленный на учетные записи FTP, WordPress и Joomla , веб-сканер для поиска других уязвимых серверов и эксплойт Heartbleed OpenSLL.
Последний вариант вредоносного модуля в сегодняшней статье также является одной из наиболее полных версий. Это также одна из самых тревожных проблем по нескольким причинам.
Во-первых, DiamondFox — это модульный ботнет, продающийся на различных подпольных форумах. Потенциальные киберпреступники могут приобрести модульный пакет ботнетов DiamondFox, чтобы получить доступ к ряду расширенных возможностей атак. Этот инструмент регулярно обновляется и, как и все другие онлайн-сервисы, имеет персонализированную поддержку клиентов. (У него даже есть журнал изменений!)
Вторая причина: модульный ботнет DiamondFox поставляется с кучей плагинов. Эти функции включаются и выключаются через панель управления, как и положено приложению для умного дома. Плагины включают в себя подходящие шпионские инструменты, инструменты для кражи учетных данных, инструменты DDoS, кейлоггеры , спам-сообщения и даже сканер оперативной памяти.
Как предотвратить атаку модульного вредоносного ПО?
В настоящее время не существует специального инструмента, который мог бы защитить пользователей от варианта вредоносного модуля. Кроме того, некоторые варианты вредоносных модулей имеют ограниченную географию. Например, Marap, AdvisorsBot и CobInt в основном встречаются в России и странах СНГ.
Исследователи Proofpoint показали, что, несмотря на текущие географические ограничения, если другие преступники увидят авторитетную преступную организацию, использующую модульное вредоносное ПО, они обязательно последуют их примеру.
Важно знать, как модули вредоносного ПО попадают в вашу систему. В большинстве зафиксированных случаев использовались вложения электронной почты, зараженные вредоносным ПО , часто содержащие документы Microsoft Office с вредоносными скриптами VBA. Злоумышленники используют этот метод, поскольку с его помощью легко отправлять зараженные вредоносным ПО электронные письма миллионам потенциальных целей. Кроме того, первоначальный эксплойт очень мал и легко замаскирован под обычный файл Office.
Как всегда, убедитесь, что ваша система обновлена, и рассмотрите возможность инвестирования в качественное антивирусное программное обеспечение. Это стоит того!
Узнать больше:
Версия Big Sur для macOS была официально анонсирована на недавней конференции WWDC. И вы можете полностью перенести интерфейс macOS Big Sur на Windows 10 с помощью инструмента Rainmeter.
RDStealer — это вредоносное ПО, которое пытается украсть учетные данные и данные путем заражения RDP-сервера и мониторинга его удаленных подключений.
Может быть, пришло время попрощаться с Проводником и использовать стороннее программное обеспечение для управления файлами? Вот 7 лучших альтернатив Windows File Explorer.
LoRaWAN или беспроводная сеть дальнего действия полезна для связи между маломощными устройствами на больших расстояниях.
Перейдя к «Дополнительным параметрам запуска», вы можете сбросить Windows 10, восстановить Windows 10, восстановить Windows 10 из файла образа, который вы создали ранее, исправить ошибки запуска, открыть командную строку для выполнения параметров, выбрать другие, открыть настройки UEFI, изменить настройки запуска. ..
Каждый раз, когда вы подписываетесь на новую услугу, вы можете выбрать имя пользователя и пароль или просто войти в систему через Facebook или Twitter. Но стоит ли вам это делать?
DNS Google 8.8.8.8 8.8.4.4 — это один из DNS, который предпочитают использовать многие пользователи, особенно для ускорения доступа к сети или доступа к заблокированному Facebook.
Если вы используете Microsoft Edge на общем компьютере с Windows 10 и хотите сохранить конфиденциальность своей истории просмотров, вы можете настроить Edge всегда запускать в режиме InPrivate.
Сегодня обычно используются два типа шифрования: симметричное и асимметричное шифрование. Основное различие между этими двумя типами шифрования заключается в том, что при симметричном шифровании используется один ключ как для операций шифрования, так и для дешифрования.
Полноэкранный режим на вашем компьютере удалит ненужный контент. Итак, как выйти из полноэкранного режима Windows?
