Dexphot er en af de nyeste stammer af polymorf malware opdaget af sikkerhedseksperter. Den malware angreb næsten 80,000 maskiner i løbet af året.
Dexphot Inficerede Titusinder af computere
Dexphot blev først opdaget i oktober 2018, og det er blevet opgraderet flere gange til et niveau, analysere dens kode blev et udfordrende opgave. Den malware re-dukkede i juni 2019, når det påvirkede titusinder af maskiner. Angrebene stilnet i et par uger, og malware blev set på mindre end 10,000 computere dagligt.
Ifølge Microsoft forskere, Dexphot udnyttet forskellige avancerede metoder til at unddrage sig sikkerhedssoftware, såsom lag af formørkelse, kryptering, og randomiserede filnavne for at skjule installationen. Den malware er også brugt fileless malware teknikker til at køre skadelig kode i hukommelsen, Hvilket efterlader næsten ingen spor for retsvidenskab analyse.
Dexphot kapret også legitime system processer at skjule ondsindet aktivitet. Hvis ikke stoppet, malwaren også løb en cryptocurrency minearbejder på kompromitteret system, med overvågning af tjenester og planlagte opgaver udløser ny infektion, når forsvarere forsøge at fjerne malware, Microsoft sagde.
Fordi malware viste sofistikeret adfærd, udholdenhed, polymorfi og fileless teknikker, den eneste måde at fange var brugen af adfærdsbaseret afsløring.
De tidlige stadier af Dexphot malware-infektion bestod af følgende:
En installatør med to URL'er
En MSI pakke filen downloades fra en af de webadresser
En password-beskyttet zip-arkiv
En loader DLL, som ekstraheres fra arkivet
En krypterede data-fil, der er indehaver af tre yderligere eksekverbare, der er indlæst i system processer via proces udhuling
Dexphot s Polymorfi
Malwaren anvendes flere lag af polymorfi i de binære filer den distribueret. Nogle af filerne anvendes af malware blev sat til at ændre hver 20-30 minutter. MSI eksekverbare leveres af malware indeholdt
Nogle af filerne er udøvet af Dexphot ville ændre hver 20 eller 30 minutter, hvilket gør det vanskeligt at spore dens aktivitet. Leveret som en MSI eksekverbar, pakken indeholdt en række filer, der var forskellig fra den ene infektion til en anden.
”MSI pakker generelt omfatte en ren version af unzip.exe, en password-beskyttet zip-fil, og en batch-fil, der kontrollerer, om aktuelt installerede antivirus produkter. Men, batchfilen er ikke altid til stede, og navnene på de ZIP-filer og Loader DLL'er, samt adgangskoden til ekstraktion af ZIP-fil, alle skift fra en pakke til den næste,”Sagde Microsoft.
Vidste du? Polymorf malware vil ændre sin virus signatur hver gang det kopierer sig selv og inficerer den næste fil. Ved at gøre det, virussen vil undgå opdagelse ved AV-software. I 2016, Webroot forskere analyseret mere end 27 milliard URL'er, 600 million domæner, 4 milliard IP-adresser, 20 mobile applikationer, 10 million tilsluttede sensorer, og mindst 9 million fil adfærd optegnelser. I 97% af infektion tilfælde, malware blev identificeret som polymorf, eller unik for systemet.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: