Modulär skadlig kod Den nya snygga attacken stjäl dina data

Modulär skadlig kod Den nya snygga attacken stjäl dina data / säkerhet

Malware finns i alla former och storlekar. Dessutom har sofistikeringen av skadlig kod ökat betydligt under åren. Attackers inser att det inte alltid är det effektivaste sättet att försöka passa alla aspekter av deras skadliga paket till en enda nyttolast.

Med tiden har skadlig kod blivit modulär. Det vill säga vissa malwarevarianter kan använda olika moduler för att ändra hur de påverkar ett målsystem. Så, vad är modulär malware och hur fungerar det?

Vad är modulär skadlig kod?

Modulär malware är ett avancerat hot som attackerar ett system i olika steg. I stället för att spränga genom ytterdörren tar modulär malware en subtilare tillvägagångssätt.

Det gör det genom att bara installera de väsentliga komponenterna först. Sedan, i stället för att orsaka en fanfare och varna användarna för sin närvaro, utforskar den första modulen systemet och nätverkssäkerheten; vem har ansvaret, vilka skydd som körs, där malware kan hitta sårbarheter, vilka exploater har den bästa chansen att lyckas och så vidare.

Efter en framgångsrik scoping av lokalmiljön kan den första stegs malwaremodulen ringa hem till sin kommando- och kontrollserver (C2) -server. C2 kan sedan skicka tillbaka ytterligare instruktioner tillsammans med ytterligare malware-moduler för att dra nytta av den specifika miljö malware körs i.

Modulär malware har flera fördelar jämfört med skadlig kod som packar all sin funktionalitet till en enda nyttolast.

  • Skribentprogramvaran kan snabbt ändra malware signaturen för att undvika antivirusprogram och andra säkerhetsprogram.
  • Modulär malware möjliggör omfattande funktionalitet för en rad olika miljöer. Därför kan författare reagera på specifika mål, eller alternativt öronmärka specifika moduler för användning i specifika miljöer.
  • De inledande modulerna är små och lite enklare att obfuscate.
  • Kombinera flera malware-moduler ger säkerhetsforskare gissningar om vad som kommer att komma nästa.

Modulär malware är inte ett plötsligt nytt hot. Malware-utvecklare har länge gjort effektiva användningen av modulära malwareprogram. Skillnaden är att säkerhetsforskare stöter på mer modulär malware i ett större antal situationer. Forskare har också upptäckt den enorma Necurs botnet (berömd för att distribuera Dridex och Locky ransomware varianter) distribuera modulära malware nyttolast. (Vad är en botnet, hur som helst? Vad är en Botnet och är din dator del av en? Vad är en Botnet och är din dator del av en? Botnets är en viktig källa till skadlig kod, ransomware, spam och mer. Men vad är det? en botnet? Hur kommer de till existensen? Vem styr dem? Och hur kan vi stoppa dem? Läs mer)

Modulära malware-exempel

Det finns några mycket intressanta modulära malware exempel. Här är några för att du ska överväga.

VPNFilter

VPNFilter är en nyligen skadad variant som angriper routrar och Internet av saker (IoT) -enheter. Malware fungerar i tre steg.

Den första etappen av skadlig programkontakt kontaktar en kommando- och kontrollservern för att ladda ner scen två modulen. Den andra etappen modulen samlar data, kör kommandon, och kan störa enhetens hantering (inklusive förmågan att “tegel” en router, IoT eller NAS-enhet). Det andra steget kan också ladda ner moduler i tredje etappen, som fungerar som plugins för andra etappen. Steg tre moduler innehåller en paketsniffer för SCADA-trafik, en paketinjektionsmodul och en modul som gör att malware 2 kan kommunicera med Tor-nätverket.

Du kan lära dig mer om VPNFilter, var det kom från, och hur du kan upptäcka det här.

T9000

Palo Alto Networks säkerhetsforskare avslöjade T9000-malware (ingen relation till Terminator eller Skynet ... eller är det ?!).

T9000 är ett informations- och datainsamlingsverktyg. När T9000 har installerats kan en angripare låta bli en angripare “fånga krypterad data, ta skärmdumpar av specifika program och specifikt rikta Skype-användare,” såväl som Microsoft Office-produktfiler. T9000 levereras med olika moduler som är utformade för att undvika upp till 24 olika säkerhetsprodukter, vilket ändrar installationsprocessen för att förbli under radarn.

DanaBot

DanaBot är en multi-stegs bank trojan med olika plugins som författaren använder för att utöka sin funktionalitet. (Hur man snabbt och effektivt hanterar fjärråtkomst-trojaner. Hur man enkelt och effektivt hanterar fjärråtkomst-trojaner. Hur man enkelt och effektivt hanterar fjärråtkomst-trojaner. Lukta en RAT? Om du tror att du har smittats med en Remote Access Trojan, Du kan enkelt bli av med den genom att följa dessa enkla steg. Läs mer) I maj 2018 upptäcktes DanaBot i en serie attacker mot australiska banker. Vid den tidpunkten upptäckte forskare ett paket för sniffing och injektion, en VNC-fjärrkontroll, ett dataprogram och ett Tor-plugin som möjliggör säker kommunikation.

“DanaBot är en bank trojansk, vilket innebär att det nödvändigtvis är geografiskt riktad till en grad,” läser Proofpoint DanaBot blogginmatningen. “Antagandet av högvolymskådespelare, som vi såg i USA-kampanjen, föreslår aktiv utveckling, geografisk expansion och pågående hotaktörsintressen i skadlig programvara. Malware-enheten innehåller ett antal antianalysfunktioner, såväl som uppdaterade stealer- och fjärrkontrollmoduler, vilket ytterligare ökar dess attraktivitet och nytta för hotaktörer.”

Marap, AdvisorsBot och CobInt

Jag kombinerar tre modulära malwarevarianter i ett avsnitt som de fantastiska säkerhetsforskarna på Proofpoint upptäckte alla tre. Modulära malwarevarianter har likheter men har olika användningsområden. Dessutom ingår CobInt i en kampanj för koboltgruppen, en kriminell organisation med band till en lång lista över bank- och finansiell cyberbrott.

Marap och AdvisorsBot var båda spotted scoping out målsystem för försvar och nätverkskartläggning, och om malware bör ladda ner hela nyttolasten. Om målsystemet är av tillräckligt intresse (t ex har värde), kallar malware upp för andra etappen av attacken.

Liksom andra modulära malwarevarianter följer Marap, AdvisorsBot och CobInt ett trestegsflöde. Det första steget är typiskt ett mail med en infekterad bilaga som bär det första utnyttjandet. Om exploiten körs begär malware omedelbart det andra steget. Det andra steget bär rekognoseringsmodulen som bedömer säkerhetsåtgärderna och nätverkslandskapet för målsystemet. Om skadlig programvara anser att allt är lämpligt, hämtas den tredje och sista modulen, inklusive den huvudsakliga nyttolasten.

Proofpoint anaylsis av:

  • Marap
  • AdvisorBot (och PoshAdvisor)
  • CobIn

Förödelse

Mayhem är en något äldre modulär malwarevariant som först kommer tillbaka till 2014. Mayhem är dock ett bra modulärt malwareexempel. Malware, upptäckt av säkerhetsforskare vid Yandex, riktar sig mot Linux och Unix webbservrar. Det installeras via ett skadligt PHP-skript.

En gång installerat kan skriptet ringa på flera plugins som definierar malwareens ultimata användning.

Pluggarna innehåller en brute force-lösenordskrävare som riktar sig till FTP, WordPress och Joomla-konton, en webbrobot för att söka efter andra sårbara servrar och ett verktyg som utnyttjar Heartbleed OpenSLL-sårbarheten.

DiamondFox

Vår sista modulära malwarevariant är också en av de mest kompletta. Det är också ett av de mest oroande, av ett antal skäl.

Orsak ett: DiamondFox är ett modulärt botnet för försäljning på olika undergroundfora. Potentiella cyberkriminella kan köpa DiamondFox modulära botnetpaket för att få tillgång till ett brett utbud av avancerade attackfunktioner. Verktyget uppdateras regelbundet och, som alla bra onlinetjänster, har personligt kundsupport. (Det har till och med en förändringslogg!)

Orsak två: DiamondFox modulära botnet kommer med en rad plugins. Dessa slås på och av via en instrumentpanel som inte skulle vara oskadd som en smart hem app. Plugins inkluderar skräddarsydda spionageverktyg, credential stjälverktyg, DDoS verktyg, keyloggers, spam mailers, och till och med en RAM skrapa.

Varning: Följande video har musik du kanske eller inte kan njuta av.

Så här stoppar du en modulär skadlig programattack

Vid det aktuella tillfället skyddar inget specifikt verktyg mot en specifik modulvariantvariant. Vissa modulära malwarevarianter har också begränsad geografisk räckvidd. Till exempel finns Marap, AdvisorsBot och CobInt främst i Ryssland och CIS nationer.

Med andra ord påpekade Proofpoint-forskarna att trots de nuvarande geografiska begränsningarna, om andra brottslingar ser en sådan etablerad brottslig organisation som använder modulär malware, kommer andra säkert att följa med.

Medvetenhet om hur modulär malware kommer på ditt system är viktigt. De flesta använder smittade bifogade bilagor, vanligtvis innehållande ett Microsoft Office-dokument med ett skadligt VBA-skript. Attackers använder den här metoden eftersom det är lätt att skicka infekterade e-postmeddelanden till miljontals potentiella mål. Dessutom är det initiala utnyttjandet litet och enkelt förtäckt som en Office-fil.

Se till att du håller ditt system uppdaterat och överväga att investera i Malwarebytes Premium-det är värt det. 5 Skäl att uppgradera till Malwarebytes Premium: Ja, det är värt det. 5 skäl att uppgradera till Malwarebytes Premium: Ja, det är värt det medan Den fria versionen av Malwarebytes är fantastisk, premiumversionen har en massa användbara och givande funktioner. Läs mer !

Utforska mer om: Jargon, Malware, Modular Malware, Trojan Horse.