Модульные вредоносные программы: Новая скрытая атака, крадущая ваши данные
Технологии с объяснениями

Модульные вредоносные программы: Новая скрытая атака, крадущая ваши данные

Обнаружить вредоносное ПО стало еще сложнее. Что такое модульное вредоносное ПО и как остановить его, чтобы оно не посеяло хаос на вашем компьютере?

Вредоносные программы бывают разных форм и размеров. Более того, с годами сложность вредоносных программ значительно возросла. Злоумышленники понимают, что попытка вместить все аспекты своего вредоносного пакета в одну полезную нагрузку не всегда является наиболее эффективным способом

Со временем вредоносное ПО стало модульным. То есть некоторые варианты вредоносных программ могут использовать различные модули для изменения того, как они воздействуют на целевую систему. Итак, что такое модульное вредоносное ПО и как оно работает?

Что такое модульное вредоносное ПО?

Модульное вредоносное ПО – это продвинутая угроза, которая атакует систему на разных этапах. Вместо взрыва через входную дверь модульные вредоносные программы используют более тонкий подход

Для этого сначала устанавливаются только основные компоненты. Затем, вместо того чтобы фанфарами оповещать пользователей о своем присутствии, первый модуль изучает систему и безопасность сети: кто ответственный, какие средства защиты работают, где вредоносная программа может найти уязвимости, какие эксплойты имеют наибольшие шансы на успех и так далее

После успешной разведки локальной среды вредоносный модуль первой стадии может связаться со своим командно-контрольным (C2) сервером.C2 может отправить дальнейшие инструкции вместе с дополнительными модулями вредоносного ПО, чтобы использовать преимущества конкретной среды, в которой работает вредоносное ПО

Модульные вредоносные программы имеют ряд преимуществ по сравнению с вредоносными программами, которые упаковывают все свои функциональные возможности в единую полезную нагрузку

  • Автор вредоносной программы может быстро изменить сигнатуру вредоносной программы, чтобы обойти антивирусные и другие программы безопасности.
  • Модульные вредоносные программы обеспечивают широкую функциональность для различных сред. Таким образом, авторы могут реагировать на конкретные цели или, наоборот, выделять определенные модули для использования в конкретных средах.
  • Начальные модули крошечные, и их легче замаскировать.
  • Комбинирование нескольких модулей вредоносного ПО заставляет исследователей безопасности гадать, что будет дальше.
  • .

    Модульные вредоносные программы не являются неожиданно новой угрозой. Разработчики вредоносного ПО уже давно эффективно используют модульные вредоносные программы. Разница в том, что исследователи безопасности сталкиваются с модульными вредоносными программами в более широком спектре ситуаций. Исследователи также заметили, что огромный ботнет Necurs (печально известный распространением вариантов Dridex и Locky ransomware) распространяет модульные вредоносные программы.(Что такое ботнет?)

    Примеры модульных вредоносных программ

    Есть несколько очень интересных примеров модульных вредоносных программ. Вот несколько из них, которые вы можете рассмотреть

    VPNFilter

    VPNFilter – это недавний вариант вредоносной программы, которая атакует маршрутизаторы и устройства Интернета вещей (IoT). Вредоносная программа работает в три этапа

    На первом этапе вредоносная программа связывается с командно-контрольным сервером для загрузки модуля второго этапа. Модуль второго этапа собирает данные, выполняет команды и может вмешиваться в управление устройством (включая возможность ‘окирпичить’ маршрутизатор, IoT или NAS-устройство). Второй этап также может загружать модули третьего этапа, которые работают как плагины для второго этапа. Модули третьей стадии включают в себя сниффер пакетов для трафика SCADA, модуль инъекции пакетов и модуль, позволяющий вредоносному ПО второй стадии общаться с помощью сети Tor

    Вы можете узнать больше о VPNFilter, откуда он взялся и как его обнаружить здесь

    T9000

    Исследователи безопасности Palo Alto Networks обнаружили вредоносную программу T9000 (не имеет отношения к Терминатору или Скайнету. или имеет?!)

    T9000 – это инструмент для разведки и сбора данных. После установки T9000 позволяет злоумышленникам ‘перехватывать зашифрованные данные, делать скриншоты определенных приложений и специально нацеливаться на пользователей Skype’, а также файлы продуктов Microsoft Office.T9000 поставляется с различными модулями, предназначенными для обхода до 24 различных продуктов безопасности, изменяя процесс установки, чтобы оставаться незамеченным

    DanaBot

    DanaBot – это многоступенчатый банковский троянец с различными плагинами, которые автор использует для расширения его функциональности.(Как быстро и эффективно бороться с троянами удаленного доступа.) Например, в мае 2018 года DanaBot был замечен в серии атак на австралийские банки. Тогда исследователи обнаружили плагин для обнюхивания и инъекции пакетов, плагин для удаленного просмотра VNC, плагин для сбора данных и плагин Tor, обеспечивающий безопасную связь

    ‘DanaBot – это банковский троянец, что означает, что он обязательно в определенной степени геотаргетирован’, – говорится в записи блога Proofpoint DanaBot.’Принятие вируса крупными субъектами, как мы видели в ходе кампании в США, говорит об активной разработке, расширении географии и постоянном интересе угрожающих субъектов к этой вредоносной программе’. Сама вредоносная программа содержит ряд функций антианализа, а также обновленные модули кражи и удаленного управления, что еще больше повышает ее привлекательность и полезность для субъектов угроз.’

    Marap, AdvisorsBot и CobInt

    Я объединяю три модульных варианта вредоносных программ в один раздел, поскольку замечательные исследователи безопасности из Proofpoint обнаружили все три варианта. Варианты модульных вредоносных программ имеют сходство, но у них разное применение. Кроме того, CobInt является частью кампании Cobalt Group, преступной организации, связанной с длинным списком банковских и финансовых киберпреступлений

    Marap и AdvisorsBot были замечены за обследованием целевых систем для защиты и составления карты сети, а также за тем, должна ли вредоносная программа загружать полную полезную нагрузку. Если целевая система представляет достаточный интерес (например, имеет ценность), вредоносная программа вызывает второй этап атаки

    Как и другие модульные варианты вредоносного ПО, Marap, AdvisorsBot и CobInt следуют трехэтапному процессу. Первый этап обычно представляет собой электронное письмо с зараженным вложением, содержащим начальный эксплойт. Если эксплойт выполняется, вредоносная программа немедленно запрашивает второй этап. Второй этап включает в себя модуль разведки, который оценивает меры безопасности и сетевой ландшафт целевой системы. Если вредоносная программа считает, что все в порядке, загружается третий и последний модуль, содержащий основную полезную нагрузку

    Анализ Proofpoint:

  • Марап
  • AdvisorBot (и PoshAdvisor).
  • CobIn.
  • Mayhem

    Mayhem – это немного более старый вариант модульного вредоносного ПО, впервые появившийся на свет в 2014 году. Тем не менее, Mayhem остается отличным примером модульного вредоносного ПО. Вредоносная программа, обнаруженная исследователями безопасности компании ‘Яндекс’, нацелена на веб-серверы Linux и Unix. Она устанавливается с помощью вредоносного PHP-скрипта

    После установки скрипт может вызывать несколько плагинов, которые определяют конечное назначение вредоносной программы

    Эти модули включают в себя программу для взлома паролей методом грубой силы, предназначенную для FTP, WordPress и Joomla, веб-краулер для поиска других уязвимых серверов и инструмент, использующий уязвимость Heartbleed OpenSLL

    DiamondFox

    Наш последний модульный вариант вредоносной программы является одним из самых полных. Он также является одним из самых тревожных по нескольким причинам

    Причина первая: DiamondFox – это модульный ботнет, продающийся на различных подпольных форумах. Потенциальные киберпреступники могут приобрести модульный пакет ботнета DiamondFox, чтобы получить доступ к широкому спектру передовых возможностей для атак. Инструмент регулярно обновляется и, как и все хорошие онлайн-сервисы, имеет индивидуальную поддержку клиентов.(У него даже есть журнал изменений!)

    Причина вторая: модульный ботнет DiamondFox поставляется с целым рядом плагинов. Они включаются и выключаются с помощью приборной панели, которая была бы не лишней в качестве приложения для умного дома. Подключаемые модули включают в себя специализированные инструменты для шпионажа, инструменты для кражи учетных данных, инструменты DDoS, кейлоггеры, спам-рассылки и даже скребок оперативной памяти

    Предупреждение: в следующем видео есть музыка, которая может вам понравиться или не понравиться

    Как остановить модульную атаку вредоносного ПО

    В настоящее время нет специального инструмента для защиты от конкретного варианта модульного вредоносного ПО. Кроме того, некоторые варианты модульных вредоносных программ имеют ограниченную географию распространения. Например, Marap, AdvisorsBot и CobInt встречаются преимущественно в России и странах СНГ

    Тем не менее, исследователи Proofpoint отметили, что, несмотря на существующие географические ограничения, если другие преступники увидят, что такая авторитетная преступная организация использует модульные вредоносные программы, другие обязательно последуют ее примеру

    Важно знать, как модульные вредоносные программы попадают в вашу систему. Большинство использует зараженные вложения электронной почты, обычно содержащие документ Microsoft Office с вредоносным сценарием VBA. Злоумышленники используют этот метод, поскольку легко отправить зараженную электронную почту миллионам потенциальных целей. Кроме того, первоначальный эксплойт имеет небольшие размеры и легко маскируется под файл Office

    Как всегда, убедитесь, что ваша система обновляется, и подумайте об инвестировании в Malwarebytes Premium – оно того стоит!

    Об авторе

    Алексей Белоусов

    Привет, меня зовут Филипп. Я фрилансер энтузиаст . В свободное время занимаюсь переводом статей и пишу о потребительских технологиях для широкого круга изданий , не переставая питать большую страсть ко всему мобильному =)

    Комментировать

    Оставить комментарий

    ВАМ БУДЕТ ИНТЕРЕСНО