Sikkerhedseksperter vil helt sikkert snuble på flere og flere bagdøre og botnets, som vi er vidne til en øget infektion på ransomware og Apts (avancerede vedholdende trusler).
Interessant nok, nyligt opdagede bagdøre og botnet er muligvis slet ikke nye. Hvorfor? Sådanne trusler kan blive opdaget i flere måneder og endda år. Hvis der opdages en trussel i 2015, det betyder ikke nødvendigvis, at truslen for nylig blev oprettet.
Forbedre din uddannelse inden for cybersikkerhed:
APT Bagdøre Kontrolleret af en stærk gruppe
Nemesis Bootkit høster finansielle data
Hvorfor du skal frygte Ponmocop Botnet
En af de seneste afdækkede bagdøre har vist sig at være ret snigende. Døbt Latentbot, den vedvarende trussel har eksisteret i det mindste siden 2013. Forskere ved FireEye afslørede for nylig, at Latentbot har påvirket ofrene i USA, Storbritannien, Canada, Brasilien, Peru, Polen, Singapore, Syd Korea, De Forenede Arabiske Emirater.
Dens ofre er primært i finans- og forsikringssektoren. Men, andre sektorer er også kompromitteret.
Latentbot bagdør kapaciteter
Distributionsteknikker, der anvendes af malware-dropper, er muligvis ikke innovative, men nyttelasten for angrebet (Latentbot) har bestemt fanget forskernes opmærksomhed. Ikke kun implementerer det flere lag af tiltrækning, men det har også en unik eksfiltreringsmekanisme.
Dette er Latentbots muligheder, opsummeret af FireEye-forskergruppen:
1. Flere lag af tiltrækning
2. Dekrypterede strenge i hukommelsen fjernes efter brug
3. Skjuler applikationer på et andet skrivebord
4. MBR aftørring evne
5. Ransomlock-ligheder som at kunne låse skrivebordet
6. Skjult VNC-forbindelse
7. Modulært design, tillader nemme opdateringer på offermaskiner
8. Stealth: Tilbagekaldstrafik, API'er, Registreringsnøgler og andre indikatorer dekrypteres dynamisk
9. Drops Pony malware som et modul til at fungere som infostealer
Latentbot nyttelast, Formålet med angreb
Udover at være snigende, Latentbot er designet til at opbevare sin ondsindede kode i maskinens hukommelse, så længe det er nødvendigt. Derefter, koden slettes. Som forskerne påpeger, de fleste af de kodede data findes enten i programressourcerne eller i registreringsdatabasen. Også, en specifik, skræddersyet krypteringsalgoritme deles på tværs af de forskellige komponenter. Kommando- og kontrolkommunikationen er også krypteret. På grund af det, Latentbots familiebinarier registreres med et generisk navn, f.eks. Trojan.Generic.
Her er en liste over nogle af dens opdagelser fra AV-leverandører:
- Trojan.Win32.Generic!BT
- Trojan.GenericKD.2778570
- Trojan.Generic.D2A65CA
- Trojan.Generic.D2A65CA
- UnclassifiedMalware
- Trojan.MSIL.Crypt
- Bagdør / Androm.tzz
Latentbots infektionsproces
Angrebet udløses ved at åbne en spam-e-mail, der indeholder ondsindede vedhæftede filer. Når en sådan vedhæftet fil er udført, computeren vil blive inficeret med en malware-downloader, der vil slippe LuminosityLink RAT (Remote Access Trojan). Når RAT bestemmer, om den bestemte maskine opfylder kravene (f.eks. hvis pc er på Windows Vista, det vil ikke blive angrebet), operationens nyttelast a.k.a. Latentbot droppes. Som en helhed, installationsprocessen for Latentbot er sofistikeret, gennemgår seks forskellige faser. Hovedformålet er at skjule sine aktiviteter og omgå reverse engineering.
Udfører Latentbot målrettede angreb?
Ifølge forskere, den snigende bagdør er ikke målrettet, i det mindste ikke i de industrier, det har påvirket. Men, det er selektivt, når det kommer til de typer Windows-system, der skal angribes. Latentbot kører ikke på Windows Vista eller Server 2008, og det bruger kompromitterede websteder til sin kommando- og kontrolinfrastruktur. Således, infektionsprocessen bliver lettere, og påvisningen vanskeligere.
Latentbot af en grund
Latentbot er faktisk latent - den er designet til tavse ondsindede aktiviteter. Dens adskillige lag af tiltrækning og det faktum, at det kan fjerne dataene fra computerens hukommelse, når det ikke er nødvendigt, gør det ret farligt og snigende. Endvidere, Latentbot kan også fungere som en ransomware ved at låse ofrets skrivebord og slippe Pony-malware på offerets MBR (Master Boot Record).
At gøre Latentbot endnu mere bange, det blev designet via en modulær infrastruktur, der gør det i stand til at opgradere sig selv med nye funktioner, når det er nødvendigt.
Afslutningsvis, FireEye-forskere siger, at Latentbot er 'støjende nok' til at blive opdaget i hukommelsen ved hjælp af en avanceret løsning.
Spy Hunter scanner kun detektere trussel. Hvis du ønsker, at truslen skal fjernes automatisk, du nødt til at købe den fulde version af anti-malware værktøj.Læs mere om SpyHunter Anti-Malware værktøj / Sådan fjernes SpyHunter
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: