Dexphot Polymorfe Malware Bruger Talrige sofistikerede metoder
CYBER NEWS

Dexphot Polymorfe Malware Bruger Talrige sofistikerede metoder


Dexphot er en af ​​de nyeste stammer af polymorf malware opdaget af sikkerhedseksperter. Den malware angreb næsten 80,000 maskiner i løbet af året.




Dexphot Inficerede Titusinder af computere

Dexphot blev først opdaget i oktober 2018, og det er blevet opgraderet flere gange til et niveau, analysere dens kode blev et udfordrende opgave. Den malware re-dukkede i juni 2019, når det påvirkede titusinder af maskiner. Angrebene stilnet i et par uger, og malware blev set på mindre end 10,000 computere dagligt.

Ifølge Microsoft forskere, Dexphot udnyttet forskellige avancerede metoder til at unddrage sig sikkerhedssoftware, såsom lag af formørkelse, kryptering, og randomiserede filnavne for at skjule installationen. Den malware er også brugt fileless malware teknikker til at køre skadelig kode i hukommelsen, Hvilket efterlader næsten ingen spor for retsvidenskab analyse.

Dexphot kapret også legitime system processer at skjule ondsindet aktivitet. Hvis ikke stoppet, malwaren også løb en cryptocurrency minearbejder på kompromitteret system, med overvågning af tjenester og planlagte opgaver udløser ny infektion, når forsvarere forsøge at fjerne malware, Microsoft sagde.

Fordi malware viste sofistikeret adfærd, udholdenhed, polymorfi og fileless teknikker, den eneste måde at fange var brugen af ​​adfærdsbaseret afsløring.

De tidlige stadier af Dexphot malware-infektion bestod af følgende:

En installatør med to URL'er
En MSI pakke filen downloades fra en af ​​de webadresser
En password-beskyttet zip-arkiv
En loader DLL, som ekstraheres fra arkivet
En krypterede data-fil, der er indehaver af tre yderligere eksekverbare, der er indlæst i system processer via proces udhuling

Dexphot s Polymorfi

Malwaren anvendes flere lag af polymorfi i de binære filer den distribueret. Nogle af filerne anvendes af malware blev sat til at ændre hver 20-30 minutter. MSI eksekverbare leveres af malware indeholdt
Nogle af filerne er udøvet af Dexphot ville ændre hver 20 eller 30 minutter, hvilket gør det vanskeligt at spore dens aktivitet. Leveret som en MSI eksekverbar, pakken indeholdt en række filer, der var forskellig fra den ene infektion til en anden.

MSI pakker generelt omfatte en ren version af unzip.exe, en password-beskyttet zip-fil, og en batch-fil, der kontrollerer, om aktuelt installerede antivirus produkter. Men, batchfilen er ikke altid til stede, og navnene på de ZIP-filer og Loader DLL'er, samt adgangskoden til ekstraktion af ZIP-fil, alle skift fra en pakke til den næste,”Sagde Microsoft.


Vidste du? Polymorf malware vil ændre sin virus signatur hver gang det kopierer sig selv og inficerer den næste fil. Ved at gøre det, virussen vil undgå opdagelse ved AV-software. I 2016, Webroot forskere analyseret mere end 27 milliard URL'er, 600 million domæner, 4 milliard IP-adresser, 20 mobile applikationer, 10 million tilsluttede sensorer, og mindst 9 million fil adfærd optegnelser. I 97% af infektion tilfælde, malware blev identificeret som polymorf, eller unik for systemet.

Milena Dimitrova

Milena Dimitrova

En inspireret forfatter og indhold leder, der har været med SensorsTechForum siden begyndelsen. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim

Flere indlæg

Følg mig:
Twitter

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

Frist er opbrugt. Venligst genindlæse CAPTCHA.

Del på Facebook Del
Loading ...
Del på Twitter Tweet
Loading ...
Del på Google Plus Del
Loading ...
Del på Linkedin Del
Loading ...
Del på Digg Del
Del på Reddit Del
Loading ...
Del på Stumbleupon Del
Loading ...