Вредоносное программное обеспечение ( вредоносное ПО ) атакует в самых разных формах и масштабах. Кроме того, с течением времени сложность вредоносного ПО значительно изменилась. Злоумышленники понимают, что попытка внедрить в систему весь пакет вредоносного ПО сразу — не всегда самый эффективный способ.
Со временем вредоносное ПО стало модульным. Некоторые варианты вредоносного ПО могут использовать разные модули, чтобы изменить свое воздействие на целевую систему. Так что же такое модульное вредоносное ПО и как оно работает? Давайте узнаем это из следующей статьи!
Модульное вредоносное ПО — новый метод скрытой атаки для кражи данных.
Модульное вредоносное ПО представляет собой опасную угрозу, атакующую систему на разных этапах. Вместо прямой атаки модуль вредоносного ПО использует вторичный подход.
Это достигается путем установки только основных компонентов. Тогда, вместо того, чтобы создавать фанфары и предупреждать пользователей о своем присутствии, первый модуль нацелен на систему и кибербезопасность; какие части несут основную ответственность, какой тип метода защиты применяется, где вредоносное ПО может найти уязвимости, какие эксплойты имеют наибольшие шансы на успех и т. д.
После успешного обнаружения локальной среды модуль вредоносного ПО первой стадии может взаимодействовать со своим сервером управления и контроля (C2). Затем C2 может отреагировать, отправив дальнейшие инструкции вместе с дополнительными модулями вредоносного ПО, чтобы воспользоваться преимуществами конкретной среды, в которой работает вредоносное ПО.
Модульное вредоносное ПО более выгодно, чем вредоносное ПО, которое объединяет все функции в одну полезную нагрузку, а именно:
Модульное вредоносное ПО не является новой угрозой. Разработчики вредоносного ПО уже давно эффективно используют модульные вредоносные программы. Разница в том, что исследователи безопасности сталкиваются с большим количеством вредоносных модулей в самых разных ситуациях. Исследователи также обнаружили массивный ботнет Necurs (печально известный распространением вариантов программ-вымогателей Dridex и Locky ), распространяющий вредоносные модули.
Есть несколько очень интересных примеров вредоносных модулей. Вот несколько из них.
VPNFilter — это новейшая версия вредоносного ПО, которое атакует маршрутизаторы и устройства Интернета вещей (IoT) . Эта вредоносная программа работает в три этапа.
Вредоносная программа первой стадии обращается к серверу управления и контроля для загрузки модуля второй стадии. Модуль второго этапа собирает данные, выполняет команды и может вмешиваться в управление устройствами (включая возможность «заморозить» маршрутизатор, устройство IoT или NAS). Второй этап также может загружать модули третьего этапа, которые действуют как плагины для второго этапа. Трехэтапный модуль включает в себя пакет обнаружения трафика SCADA, модуль заражения и модуль, позволяющий вредоносному ПО второй стадии взаимодействовать с использованием сети Tor .
Вы можете узнать больше о VPNFilter из следующей статьи: Как обнаружить вредоносное ПО VPNFilter до того, как оно уничтожит маршрутизатор.
Исследователи безопасности Palo Alto Networks обнаружили вредоносное ПО T9000 (не связанное с Терминатором или Скайнетом).
T9000 — это инструмент сбора информации и данных. После установки T9000 позволяет злоумышленникам «перехватывать зашифрованные данные, делать снимки экрана определенных приложений и целенаправленно атаковать пользователей Skype », а также файлы продуктов Microsoft Office. T9000 поставляется с различными модулями, предназначенными для обхода 24 различных продуктов безопасности, что позволяет изменить процесс установки, чтобы оставаться незамеченным.
DanaBot — многоэтапный банковский троян с различными плагинами, которые злоумышленники используют для расширения своей функциональности. Например, в мае 2018 года DanaBot был обнаружен в серии атак на австралийские банки. В то время исследователи обнаружили набор плагинов для обнаружения заражений, плагин удаленного просмотра VNC, плагин сбора данных и плагин Tor, обеспечивающий защищенную связь.
«DanaBot — это банковский троян, а это означает, что он обязательно в некоторой степени ориентирован на географическое положение», — говорится в блоге Proofpoint DanaBot. «Несмотря на многочисленные меры предосторожности, которые мы видели во время кампании в США, по-прежнему легко увидеть активный рост, географическое расширение и изощренность вредоносных программ. Сама вредоносная программа содержит несколько функций антианализа, а также регулярно обновляемые модули кражи информации и удаленного управления, что повышает ее угрозу для целей».
В статье три варианта вредоносного модуля объединены в один раздел, поскольку замечательные исследователи безопасности из Proofpoint исследовали все три одновременно. Эти варианты модулей вредоносного ПО похожи, но имеют разное применение. Кроме того, CobInt является частью кампании Cobalt Group, преступной организации, связанной с длинным списком киберпреступников в банковском и финансовом секторе.
Marap и AdvisorsBot были созданы для защиты всей целевой системы и составления карты сети, а затем определения, должно ли вредоносное ПО загружать всю полезную нагрузку. Если целевая система удовлетворяет потребности (например, имеет ценность), вредоносное ПО переходит ко второй фазе атаки.
Как и другие версии вредоносных модулей, Marap, AdvisorsBot и CobInt используют трехэтапный процесс. Первым этапом обычно является электронное письмо с вложением, зараженным вредоносным ПО для первоначальной цели эксплуатации. Если эксплойт реализован, вредоносная программа немедленно запрашивает второй этап. На втором этапе имеется модуль разведки для оценки мер безопасности и сетевого ландшафта целевой системы. Если вредоносная программа сообщает, что все в порядке, на последнем этапе загружается третий модуль, включая основную полезную нагрузку.
Mayhem — это немного более старая версия вредоносного модуля. Впервые он появился в 2014 году. Однако Mayhem по-прежнему является примером отличного модульного вредоносного ПО. Вредоносное ПО, обнаруженное исследователями безопасности из Яндекса, нацелено на веб-серверы Linux и Unix. Он устанавливается через вредоносный PHP-скрипт.
После установки скрипт может вызывать несколько плагинов, определяющих оптимальное использование вредоносного ПО.
Плагины включают в себя взломщик паролей методом перебора , нацеленный на учетные записи FTP, WordPress и Joomla , веб-сканер для поиска других уязвимых серверов и эксплойт Heartbleed OpenSLL.
Последний вариант вредоносного модуля в сегодняшней статье также является одной из наиболее полных версий. Это также одна из самых тревожных проблем по нескольким причинам.
Во-первых, DiamondFox — это модульный ботнет, продающийся на различных подпольных форумах. Потенциальные киберпреступники могут приобрести модульный пакет ботнетов DiamondFox, чтобы получить доступ к ряду расширенных возможностей атак. Этот инструмент регулярно обновляется и, как и все другие онлайн-сервисы, имеет персонализированную поддержку клиентов. (У него даже есть журнал изменений!)
Вторая причина: модульный ботнет DiamondFox поставляется с кучей плагинов. Эти функции включаются и выключаются через панель управления, как и положено приложению для умного дома. Плагины включают в себя подходящие шпионские инструменты, инструменты для кражи учетных данных, инструменты DDoS, кейлоггеры , спам-сообщения и даже сканер оперативной памяти.
Как предотвратить атаку модульного вредоносного ПО?
В настоящее время не существует специального инструмента, который мог бы защитить пользователей от варианта вредоносного модуля. Кроме того, некоторые варианты вредоносных модулей имеют ограниченную географию. Например, Marap, AdvisorsBot и CobInt в основном встречаются в России и странах СНГ.
Исследователи Proofpoint показали, что, несмотря на текущие географические ограничения, если другие преступники увидят авторитетную преступную организацию, использующую модульное вредоносное ПО, они обязательно последуют их примеру.
Важно знать, как модули вредоносного ПО попадают в вашу систему. В большинстве зафиксированных случаев использовались вложения электронной почты, зараженные вредоносным ПО , часто содержащие документы Microsoft Office с вредоносными скриптами VBA. Злоумышленники используют этот метод, поскольку с его помощью легко отправлять зараженные вредоносным ПО электронные письма миллионам потенциальных целей. Кроме того, первоначальный эксплойт очень мал и легко замаскирован под обычный файл Office.
Как всегда, убедитесь, что ваша система обновлена, и рассмотрите возможность инвестирования в качественное антивирусное программное обеспечение. Это стоит того!
Узнать больше:
Большинство пользователей компьютеров обычно не особо заботятся о BIOS. Однако когда возникает проблема, вам нужно изменить настройку, и вы не знаете, что делать. Вы спросите, что такое BIOS? Действительно нужно об этом знать?
Некоторые варианты вредоносного ПО могут использовать разные модули, чтобы изменить свое воздействие на целевую систему. Так что же такое модульное вредоносное ПО и как оно работает?
Как мы знаем, Hyper-V позволяет запускать виртуальные компьютерные системы на физическом сервере. Эти виртуализированные системы (также известные как гости) можно использовать и управлять ими аналогично физическим компьютерным системам.
Проверив контрольную сумму файла MD5, SHA-1 или SHA-256, вы можете проверить целостность файла и убедиться, что он не поврежден и не изменен.
Антивирусное программное обеспечение имеет определенные критерии для фильтрации подозрительных файлов, приложений и процессов в системе. Одним из таких случаев является FileRepMalware. Так что же это? Они безопасны? Удалить или не удалять эти файлы?
Что такое криптография эллиптических кривых? Почему сегодня в сфере технологий так много информации об этом виде криптографии?
Защита от программ-вымогателей — это полезная функция, поставляемая в Windows 11 и помогающая защитить устройства пользователей от атак программ-вымогателей.
Если вам часто приходится использовать большой экран, потеря крошечного указателя мыши, безусловно, не редкая ситуация.
Команда net use — это команда командной строки, используемая для подключения, удаления и настройки подключений к общим ресурсам, таким как подключенные диски и сетевые принтеры.
Мир современных информационных технологий приносит много преимуществ, но также создает благоприятные условия для злоумышленников.
