Forscher an Symantec haben nur noch eine weitere anspruchsvolle Backdoor enthüllt, Targeting derzeit südkoreanischen Organisationen. Die Bedrohung sucht die volle Kontrolle über die infizierten Systeme zu erhalten und eine Reihe von bösartigen Operationen ausführen kann.
Forschungen haben die Backdoor Duuzer benannt (Backdoor.Duuzer) und haben festgestellt, dass es mit zwei anderen Malware-Teilen verknüpft ist – W32.Brambul und Backdoor.Joanap. Alle drei versuchen, Unternehmen in der Fertigungsindustrie in diesem speziellen Teil der Welt zu gefährden. Jedoch, Die Hintertüren können leicht auch auf andere Regionen abzielen.
Obwohl die Malware erst im Oktober gemeldet wurde 26, Analyse basierend auf den Kompromissindikatoren (IoC) weist darauf hin, dass die Bedrohung seit Juli oder Anfang dieses Jahres besteht.
Es gibt auch solide Beweise dafür, dass Duuzer nicht alleine handelt. Es wird vermutet, dass die Autoren der Hintertür zwei weitere böswillige Bedrohungen mit Hintertürfunktionen verbreiten – W32.Brambul und Backdoor.Joanap. Letztere werden höchstwahrscheinlich verbreitet, um zusätzliche Nutzdaten herunterzuladen und die ausgenutzten Systeme auszuspionieren.
Was wissen wir bisher über Duuzer??
Das Expertenteam von Symantec hat herausgefunden, dass Duuzer sowohl für 32-Bit- als auch für 64-Bit-Computer ausgelegt ist. Nicht nur die Hintertür betrifft beide Systemtypen, Es kann jedoch auch festgestellt werden, ob die infizierte Maschine virtuell ist oder nicht. Es kann auch erkennen, ob die virtuelle Maschine von Virtual Box oder VMware erstellt wurde. Wenn das Ziel tatsächlich eine virtuelle Maschine ist, Der Angriff wird gestoppt. Dank dieser Fähigkeit, Die Hintertür kann der Erkennung durch Sicherheitsforscher entgehen, die virtuelle Maschinen für Forschungszwecke ausführen.
Der genaue Verteilungsweg von Duuzer ist noch nicht klar. Wahrscheinlich wird die Bedrohung über Spear-Phishing-E-Mails und Wasserlochangriffe verbreitet.
Kennen Sie, was ein Wasserlochangriff ist??
Im Grunde, ein Wasserloch Angriff ausnutzen eine Sicherheit, dass eine genaue Gruppe von Verbrauchern durch Anschlagen Websites zu Kompromissen sucht, dass die Gruppe regelmäßig besucht. Das Endziel ist ganz offensichtlich - die Ziele Computern und Remote-Zugriff auf die Netze an den Opfern zu erhalten "infizieren Ort der Beschäftigung
Der Computer Angriffsstrategie identifiziert wurde in 2012 von RSA Security. Die Strategie kann sehr effizient sein - wir alle besuchen Sie unsere Lieblingsseiten auf einer regelmäßigen, täglich. Auch wenn wir bei Menschen sehr smart und lachen, die für Phishing fallen, wir könnten noch Malware Beuten werden, indem sie einfach zu einer geliebten Seite springen.
Was sind Brambul und Joanap??
Wie bereits erwähnt, Der Duuzer-Angriff ist mit zwei weiteren böswilligen Bedrohungen verbunden.
W32.Brambul ist eine Malware vom Typ Wurm.. Es wird von einem Computer zum nächsten verteilt, indem auf Brute-Force-Angriffe zurückgegriffen wird, die auf das Server Message Block-Protokoll abzielen. Diese Art von Protokoll wird angewendet, um den gemeinsamen Zugriff auf Dateien zu ermöglichen, Drucker und serielle Schnittstellen. Der Wurm kann auch eine Verbindung zu zufälligen IP-Adressen herstellen. Einmal ausgeführt, Brambul erstellt eine Netzwerkfreigabe und gewährt Cyberkriminellen Zugriff auf das Systemlaufwerk. Dann, Es sendet eine E-Mail mit Details und Anmeldeinformationen an eine vorkonfigurierte Adresse. Die Bedrohung wird auch beobachtet, um andere Malware herunterzuladen.
Backdoor.Joanap wird zusammen mit Brambul fallen gelassen. Es wurde entwickelt, um eine Hintertür zu öffnen und bestimmte Dateien an die Hacker zu senden. Es kann auch Dateien herunterladen und ausführen, und Prozesse ausführen oder beenden.
Forscher haben herausgefunden, dass die drei Malware-Akteure zur Zusammenarbeit eingesetzt werden können. Maschinen, die mit der Brambul-Hintertür infiziert waren, wurden ebenfalls von Duuzer kompromittiert. Auch, Sie wurden als Befehl verwendet & Kontrollserver für den Duuzer-Angriff.
Wie kann ich meine Mitarbeiter erhöhen?’ Sicherheit?
Es gibt keine einzige Formel. Malware-Autoren suchen ständig nach neuen Wegen, um sich in Zielorganisationen einzuschleichen. Die Infektion beginnt normalerweise mit einem Angriff auf die „schwächsten Glieder“.. Stellen Sie sicher, dass Sie sich weiterbilden, Ihre Mitarbeiter und sogar Ihre Arbeitgeber, wenn sie keine Schritte zur Sicherung ihrer Daten unternommen haben.
- Achten Sie darauf, um zusätzliche Firewall-Schutz zu verwenden. Herunterladen einer zweiten Firewall (wie Zonealarm, beispielsweise) ist eine ausgezeichnete Lösung für den möglichen Intrusionen.
- Stellen Sie sicher, dass Ihre Programme haben weniger administrative Macht über das, was sie lesen und schreiben auf Ihrem Computer. Machen Sie ihnen das Admin-Zugang aufgefordert, vor dem Start.
- Verwenden sicherer Kennwörter. Sicherer Kennwörter (vorzugsweise solche, die nicht Worte) sind schwerer zu knacken durch verschiedene Methoden, einschließlich brute force, da es beinhaltet Pass Listen mit relevanten Wörter.
- Autoplay deaktivieren. Dies schützt Ihren Computer vor schädlichen ausführbaren Dateien auf USB-Sticks oder andere externe Speicherträger, die sofort in sie eingefügt werden.
- Deaktivieren Sie File Sharing - es wird empfohlen, wenn Sie File-Sharing zwischen Ihrem Computer mit einem Passwort schützen es um die Bedrohung nur auf sich selbst zu beschränken, wenn infiziert.
- Schalten Sie alle Remote-Dienste - das kann verheerend für Unternehmensnetzwerke zu sein, da es eine Menge Schaden in großem Maßstab führen.
- Wenn Sie einen Dienst oder ein Prozess, der externen und nicht Windows ist kritisch und wird von Hackern ausgenutzt zu sehen (Wie Flash Player) deaktivieren Sie es, bis es ein Update, die den Exploit behoben.
- Vergewissern Sie sich immer, um die kritische Sicherheits-Patches für Ihre Software-und Betriebssystem-Update.
- Konfigurieren Sie Ihren Mail-Server zu blockieren, und löschen Sie verdächtige Dateianhang enthält E-Mails.
- Wenn Sie einen infizierten Computer in Ihrem Netzwerk haben, stellen Sie sicher, sofort schalten Sie es aus und trennen Sie es von Hand aus dem Netzwerk zu isolieren.
- Achten Sie darauf, alle Benutzer im Netzwerk zu erziehen nie verdächtige Datei-Anhänge öffnen, ihnen zeigen Beispiele.
- Beschäftigen eine Antivirus-Erweiterung in Ihrem Browser, die alle heruntergeladenen Dateien auf Ihrem Computer scannen.
- Schalten Sie alle nicht benötigten Wireless-Services, wie Infrarot-Ports oder Bluetooth - Hacker lieben, sie zu verwenden, um Geräte zu nutzen. Falls Sie Bluetooth verwenden, stellen Sie sicher, dass Sie alle nicht autorisierte Geräte, die Sie auffordern, zu überwachen, um mit ihnen und den Niedergang zu koppeln und zu untersuchen verdächtige diejenigen.
- Beschäftigen eine Antivirus-Erweiterung in Ihrem Browser, die alle heruntergeladenen Dateien auf Ihrem Computer scannen.
- Verwenden eine leistungsstarke Anti-Malware-Lösung, um sich vor künftigen Bedrohungen automatisch schützen.