Вредоносное программное обеспечение ( вредоносное ПО ) атакует в самых разных формах и масштабах. Кроме того, с течением времени сложность вредоносного ПО значительно изменилась. Злоумышленники понимают, что попытка внедрить в систему весь пакет вредоносного ПО сразу — не всегда самый эффективный способ.
Со временем вредоносное ПО стало модульным. Некоторые варианты вредоносного ПО могут использовать разные модули, чтобы изменить свое воздействие на целевую систему. Так что же такое модульное вредоносное ПО и как оно работает? Давайте узнаем это из следующей статьи!
Модульное вредоносное ПО — новый метод скрытой атаки для кражи данных.
Модульное вредоносное ПО представляет собой опасную угрозу, атакующую систему на разных этапах. Вместо прямой атаки модуль вредоносного ПО использует вторичный подход.
Это достигается путем установки только основных компонентов. Тогда, вместо того, чтобы создавать фанфары и предупреждать пользователей о своем присутствии, первый модуль нацелен на систему и кибербезопасность; какие части несут основную ответственность, какой тип метода защиты применяется, где вредоносное ПО может найти уязвимости, какие эксплойты имеют наибольшие шансы на успех и т. д.
После успешного обнаружения локальной среды модуль вредоносного ПО первой стадии может взаимодействовать со своим сервером управления и контроля (C2). Затем C2 может отреагировать, отправив дальнейшие инструкции вместе с дополнительными модулями вредоносного ПО, чтобы воспользоваться преимуществами конкретной среды, в которой работает вредоносное ПО.
Модульное вредоносное ПО более выгодно, чем вредоносное ПО, которое объединяет все функции в одну полезную нагрузку, а именно:
Модульное вредоносное ПО не является новой угрозой. Разработчики вредоносного ПО уже давно эффективно используют модульные вредоносные программы. Разница в том, что исследователи безопасности сталкиваются с большим количеством вредоносных модулей в самых разных ситуациях. Исследователи также обнаружили массивный ботнет Necurs (печально известный распространением вариантов программ-вымогателей Dridex и Locky ), распространяющий вредоносные модули.
Есть несколько очень интересных примеров вредоносных модулей. Вот несколько из них.
VPNFilter — это новейшая версия вредоносного ПО, которое атакует маршрутизаторы и устройства Интернета вещей (IoT) . Эта вредоносная программа работает в три этапа.
Вредоносная программа первой стадии обращается к серверу управления и контроля для загрузки модуля второй стадии. Модуль второго этапа собирает данные, выполняет команды и может вмешиваться в управление устройствами (включая возможность «заморозить» маршрутизатор, устройство IoT или NAS). Второй этап также может загружать модули третьего этапа, которые действуют как плагины для второго этапа. Трехэтапный модуль включает в себя пакет обнаружения трафика SCADA, модуль заражения и модуль, позволяющий вредоносному ПО второй стадии взаимодействовать с использованием сети Tor .
Вы можете узнать больше о VPNFilter из следующей статьи: Как обнаружить вредоносное ПО VPNFilter до того, как оно уничтожит маршрутизатор.
Исследователи безопасности Palo Alto Networks обнаружили вредоносное ПО T9000 (не связанное с Терминатором или Скайнетом).
T9000 — это инструмент сбора информации и данных. После установки T9000 позволяет злоумышленникам «перехватывать зашифрованные данные, делать снимки экрана определенных приложений и целенаправленно атаковать пользователей Skype », а также файлы продуктов Microsoft Office. T9000 поставляется с различными модулями, предназначенными для обхода 24 различных продуктов безопасности, что позволяет изменить процесс установки, чтобы оставаться незамеченным.
DanaBot — многоэтапный банковский троян с различными плагинами, которые злоумышленники используют для расширения своей функциональности. Например, в мае 2018 года DanaBot был обнаружен в серии атак на австралийские банки. В то время исследователи обнаружили набор плагинов для обнаружения заражений, плагин удаленного просмотра VNC, плагин сбора данных и плагин Tor, обеспечивающий защищенную связь.
«DanaBot — это банковский троян, а это означает, что он обязательно в некоторой степени ориентирован на географическое положение», — говорится в блоге Proofpoint DanaBot. «Несмотря на многочисленные меры предосторожности, которые мы видели во время кампании в США, по-прежнему легко увидеть активный рост, географическое расширение и изощренность вредоносных программ. Сама вредоносная программа содержит несколько функций антианализа, а также регулярно обновляемые модули кражи информации и удаленного управления, что повышает ее угрозу для целей».
В статье три варианта вредоносного модуля объединены в один раздел, поскольку замечательные исследователи безопасности из Proofpoint исследовали все три одновременно. Эти варианты модулей вредоносного ПО похожи, но имеют разное применение. Кроме того, CobInt является частью кампании Cobalt Group, преступной организации, связанной с длинным списком киберпреступников в банковском и финансовом секторе.
Marap и AdvisorsBot были созданы для защиты всей целевой системы и составления карты сети, а затем определения, должно ли вредоносное ПО загружать всю полезную нагрузку. Если целевая система удовлетворяет потребности (например, имеет ценность), вредоносное ПО переходит ко второй фазе атаки.
Как и другие версии вредоносных модулей, Marap, AdvisorsBot и CobInt используют трехэтапный процесс. Первым этапом обычно является электронное письмо с вложением, зараженным вредоносным ПО для первоначальной цели эксплуатации. Если эксплойт реализован, вредоносная программа немедленно запрашивает второй этап. На втором этапе имеется модуль разведки для оценки мер безопасности и сетевого ландшафта целевой системы. Если вредоносная программа сообщает, что все в порядке, на последнем этапе загружается третий модуль, включая основную полезную нагрузку.
Mayhem — это немного более старая версия вредоносного модуля. Впервые он появился в 2014 году. Однако Mayhem по-прежнему является примером отличного модульного вредоносного ПО. Вредоносное ПО, обнаруженное исследователями безопасности из Яндекса, нацелено на веб-серверы Linux и Unix. Он устанавливается через вредоносный PHP-скрипт.
После установки скрипт может вызывать несколько плагинов, определяющих оптимальное использование вредоносного ПО.
Плагины включают в себя взломщик паролей методом перебора , нацеленный на учетные записи FTP, WordPress и Joomla , веб-сканер для поиска других уязвимых серверов и эксплойт Heartbleed OpenSLL.
Последний вариант вредоносного модуля в сегодняшней статье также является одной из наиболее полных версий. Это также одна из самых тревожных проблем по нескольким причинам.
Во-первых, DiamondFox — это модульный ботнет, продающийся на различных подпольных форумах. Потенциальные киберпреступники могут приобрести модульный пакет ботнетов DiamondFox, чтобы получить доступ к ряду расширенных возможностей атак. Этот инструмент регулярно обновляется и, как и все другие онлайн-сервисы, имеет персонализированную поддержку клиентов. (У него даже есть журнал изменений!)
Вторая причина: модульный ботнет DiamondFox поставляется с кучей плагинов. Эти функции включаются и выключаются через панель управления, как и положено приложению для умного дома. Плагины включают в себя подходящие шпионские инструменты, инструменты для кражи учетных данных, инструменты DDoS, кейлоггеры , спам-сообщения и даже сканер оперативной памяти.
Как предотвратить атаку модульного вредоносного ПО?
В настоящее время не существует специального инструмента, который мог бы защитить пользователей от варианта вредоносного модуля. Кроме того, некоторые варианты вредоносных модулей имеют ограниченную географию. Например, Marap, AdvisorsBot и CobInt в основном встречаются в России и странах СНГ.
Исследователи Proofpoint показали, что, несмотря на текущие географические ограничения, если другие преступники увидят авторитетную преступную организацию, использующую модульное вредоносное ПО, они обязательно последуют их примеру.
Важно знать, как модули вредоносного ПО попадают в вашу систему. В большинстве зафиксированных случаев использовались вложения электронной почты, зараженные вредоносным ПО , часто содержащие документы Microsoft Office с вредоносными скриптами VBA. Злоумышленники используют этот метод, поскольку с его помощью легко отправлять зараженные вредоносным ПО электронные письма миллионам потенциальных целей. Кроме того, первоначальный эксплойт очень мал и легко замаскирован под обычный файл Office.
Как всегда, убедитесь, что ваша система обновлена, и рассмотрите возможность инвестирования в качественное антивирусное программное обеспечение. Это стоит того!
Узнать больше:
Вы видите уведомление об активации Windows 10 в правом углу экрана? В этой статье вы узнаете, как удалить уведомление о запросе на авторские права в Windows 10.
Недавно Microsoft выпустила последнее накопительное обновление для пользователей ПК с Windows 10 под названием Build 14393.222. Это обновление, выпущенное для Windows 10, в основном исправляет ошибки на основе отзывов пользователей и повышает производительность операционной системы.
Есть ли в вашей локальной сети компьютеры, которым требуется внешний доступ? Использование хоста-бастиона в качестве привратника для вашей сети может быть хорошим решением.
Если вы предпочитаете использовать старую классическую клавиатуру, например IBM Model M, на которой нет физической клавиши Windows, есть простой способ добавить ее, позаимствовав клавишу, которую вы не часто используете.
Иногда вам может потребоваться удалить все старые журналы событий сразу. В этом руководстве Quantrimang.com покажет вам 3 способа быстрого удаления всех журналов событий в средстве просмотра событий Windows 10.
Во многих предыдущих статьях мы упоминали, что сохранять анонимность в Интернете чрезвычайно важно. Частная информация утекает каждый год, что делает безопасность в Интернете все более необходимой. По этой же причине нам следует использовать виртуальные IP-адреса. Ниже мы узнаем о методах создания поддельных IP-адресов!
WindowTop — это инструмент, который позволяет затемнять все окна приложений и программ, запущенных на компьютерах с Windows 10. Или вы можете использовать интерфейс с темным фоном в Windows.
Языковая панель в Windows 8 — это миниатюрная языковая панель инструментов, предназначенная для автоматического отображения на экране рабочего стола. Однако многие люди хотят скрыть эту языковую панель на панели задач.
Беспроводное подключение сегодня является необходимостью, и поэтому безопасность беспроводной сети необходима для обеспечения безопасности вашей внутренней сети.
Увеличение скорости Интернета имеет важное значение для оптимизации сетевого подключения. Вы можете получить оптимальные впечатления от развлечений и работы, используя компьютеры, телевизоры с возможностью подключения к Интернету, игровые приставки и т. д.
