Sinsi zararlı yazılımlar fare hareketlerinin arkasına saklandı, uzmanlar

Güvenlik sağlayıcısı FireEye'den araştırmacılar, fare tıklamalarının izlenmesi de dahil olmak üzere çoklu tespit kaçakçılık tekniklerini kullanan yeni bir sürekli kalıcı tehdit (APT) ortaya çıkardılar. Virüs bulaşmış bilgisayarla aktif insan etkileşimini belirlemek.

Trojan.APT.BaneChant olarak adlandırılan kötü amaçlı yazılım, hedeflenen e-posta saldırıları sırasında gönderilen bir istismarla donatılmış bir Word belgesi aracılığıyla dağıtılır. Belgenin adı "İslami Cihad.doc."

"Bu silahlı belgenin Ortadoğu ve Orta Asya hükümetlerini hedef almak için kullanıldığından şüpheleniyoruz," diye ekliyor FireEye araştırmacısı Chong Rong Hwa Pazartesi günkü bir blogda.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Çok aşamalı saldırı

Saldırı birden çok aşamada çalışır. Kötü amaçlı belge, ikinci saldırı aşamasını başlatmadan önce herhangi bir fare etkinliğinin olup olmadığını görmek için, işletim ortamının bir antivirüs sanal alanı veya otomatik bir zararlı yazılım analizi sistemi gibi sanallaştırılmış bir sistem olup olmadığını belirlemeye çalışan bir bileşeni indirir ve yürütür.

Fare tıklaması izleme yeni bir algılama kaçırma tekniği değildir, ancak geçmişte kullanan kötü amaçlı yazılım genellikle tek bir fare tıklaması için kontrol edildi, Rong Hwa dedi. BaneChant, bir URL'nin şifresini çözmeye ve bir.jpg resim dosyası olarak maskelenen bir arka kapı programını indirmeye başlamadan önce en az üç fare tıklaması bekler.

Kötü amaçlı yazılım ayrıca diğer algılama kaçırma yöntemlerini de kullanır. Örneğin, saldırının ilk aşamasında kötü amaçlı belge, damlama bileşenini bir ow.ly URL'sinden indirir. Ow.ly, kötü niyetli bir etki alanı değil, bir URL kısaltma hizmetidir.

Bu hizmeti kullanmanın ardındaki mantık, hedeflenen bilgisayardaki veya ağındaki URL kara listeye alma hizmetlerini baypas etmektir, Rong Hwa. (Ayrıca bkz. "Ev işlerinde dolandırıcılığı olan spam gönderici.gov URL kısaltıcı hizmeti."

Benzer şekilde, saldırının ikinci aşamasında, kötü amaçlı.jpg dosyası, No-IP dynamic ile üretilen bir URL'den indirilir. Etki Alanı Adı Sistemi (DNS) hizmeti.

İlk bileşen tarafından yüklendikten sonra.jpg dosyası, "C: ProgramData Google2 \" klasöründe GoogleUpdate.exe adında bir kopyasını bırakır. Ayrıca bir bağlantı oluşturur. Her bilgisayar yeniden başlatıldıktan sonra çalışmasını sağlamak için kullanıcının başlangıç ​​klasöründeki dosyaya.

Bu, kullanıcıları normalde yüklü olan meşru bir program olan Google güncelleme hizmetinin bir parçası olduğuna inanarak kullanıcıları kandırmak için bir girişimdir. "C: Program Files Google Update \" altında, Rong Hwa dedi.

Arka kapı programı, sistem bilgilerini bir komut ve kontrol sunucusuna geri yükler ve yükler.Ayrıca, bir tane indirmek ve yürütmek de dahil olmak üzere çeşitli komutları destekler virüslü bilgisayarlarda ek dosyalar.

Savunma teknolojileri ilerledikçe, kötü amaçlı yazılım da e volkanlar, Rong Hwa dedi. Bu örnekte, kötü amaçlı yazılım, insan davranışlarını tespit ederek sandbox analizi yapmaktan kaçınıp, yürütülebilir dosyaların çok baytlı XOR şifrelemesini gerçekleştirerek ağ düzeyinde ikili öznitelik teknolojisinden kaçınmak, meşru bir süreç olarak maskelenerek, adsız analizden kaçınarak adli analizden kaçınmak gibi birtakım hileler kullanmıştır. kötü amaçlı kod doğrudan belleğe yüklendi ve URL kısaltma ve dinamik DNS hizmetleri aracılığıyla yeniden yönlendirme kullanarak otomatik etki alanı kara listesinin önlenmesini söyledi.