Windows Update mekanismer gennem Windows Background Intelligent Transfer Service (BITS) har vist sig at levere den farlige Stealth Falcon malware. Dette er standard nogen for at anvende opdateringer til Microsoft Windows-operativsystemet. En sammensat strategi anvendes til at gennemtrænge target net.
Stealth Falcon Malware leveret via Misbrugt Windows Update Mechanism
En erfaren hacker kollektive aktivt inficere ofre computer ved at misbruge den vigtigste måde at anvende Microsoft Windows-opdateringer, dette gøres ved en proces kaldet Windows Background Intelligent Transfer Service (BITS), det endelige mål er at levere en farlig trussel kaldet Steath Falcon. Den komplekse hacking strategi bruges af angriberne giver dem mulighed for at skjule netværkstrafik, der stammer fra de kompromitterede enheder og er rettet mod de hacker-kontrollerede servere. Hvad ved vi om hackerne er, at de har været aktive siden 2012 og er kendt for at have orkestreret flere statsstøttede angreb mod dissidenter i De Forenede Arabiske Emirat.
Hvad adskiller om denne særlige angreb er, at den maskerede trafik nemt kan passere gennem firewalls og intrusion detection tjenester. BITS mekanisme, som hovedsageligt bruges til at levere Windows Update patches anvendes også med andre programmer, Mozilla er også vedtagelse af det for deres Firefox browser. Som standard er det whitelisten af netværk regler og er tillid som en sikker trafik. I øjeblikket den nøjagtige mekanisme er ikke kendt men der er et par mulige infiltration taktik:
- Automatiserede værktøjssæt - Ved at bruge hacking software og indtaste i populære udnytter de kriminelle kan automatisere søgningen efter sårbare værter. Når en af dem er stødt på det vil blive inficeret, og de vigtigste scripts vil levere Stealth Falcon malware.
- Phishing strategier - De kriminelle kan stole på fidus e-mails og faux hjemmesider, der udgør som værende legitime destinationssider.
- installatører & payload Carriers - En meget populær mekanisme er at skabe ondsindede installatører af populære programmer, der ofte anvendes af slutbrugere. Dette gøres normalt ved at tage de originale installatører og modificere dem med den skadelige kode. Payload bærere kan være en hvilken som helst fil, der kan bære infektionen scripts og kommandoer, almindeligt hackere er afhængige af dokumenter krydser alle populære formater: databaser, tekstfiler, regneark og præsentationer.
Stealth Falcon Malware Capabilities
Så snart de nødvendige filer er faldet på målcomputeren den tilhørende Stealth Falcon vil starte sin indbygget mekanisme. Det vigtigste virus kode bæres i en DLL-fil, som vil sætte sig til automatisk at starte på bruger-login. Det fungerer som en standard trojansk bagdør at kunne opkobling til kørende processer - både systemet og brugerprogrammet dem. Listen over kommandoer, der kan udføres af hovedmotoren er følgende:
- CFG - Opdatering konfigurationsdata
- K - Afinstaller selv
- RC - Udfør den angivne applikation
- DL - Skriv downloadede data til fil
- CF - Forbered en fil til udsivning
- CFW - Exfiltrate og slette filer
Den Stealth Falcon malware kan få adgang til, redigere og gemme sine egne værdier i registreringsdatabasen i Windows. Enhver manipulation af eksisterende strenge kan føre til alvorlige problemer med ydeevnen, fejl og datatab. Den malware kan også scanne systemet og IND ud af, om der er nogen sikkerhedsprogrammer og tjenester, der kører. Dem, der er fundet, vil blive omgået eller fjernes helt. Udviser typisk Trojan funktioner Stealth Falcon malware vil også rapportere sine fremskridt automatisk til en ekstern hacker-kontrollerede server ved hjælp af en sikker forbindelse. Dette gør det muligt for hackere at stjæle brugerdata, overtage kontrollen over deres systemer og også implementere andre trusler.
Martin Beltov
Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.
Følg mig:
