Sicherheitsexperten werden auf jeden Fall stolpert immer mehr Backdoors und Botnets, wie wir eine erhöhte Infektionsrate von Ransomware und APTs erleben (Advanced Persistent Threat).
Interessanterweise, neu entdeckten Backdoors und Botnets können nicht neu sein, überhaupt. Warum? Solche Bedrohungen können für Monate und sogar Jahre unentdeckt. Wenn eine Bedrohung entdeckt wird in 2015, es bedeutet nicht zwangsläufig, dass die Bedrohung vor kurzem erstellt wurde.
Erhöhen Sie Ihre Cyber Security Bildung:
APT Backdoors durch eine starke Gruppe Controlled
Nemesis Bootkit Harvests Finanzdaten
Warum sollten Sie Angst Ponmocop Botnet
Eines der neuesten ungedeckten Backdoors hat sich ganz verstohlen zu sein. synchronisiert Latentbot, die anhaltende Bedrohung hat sich um mindestens seit 2013. Forscher an FireEye vor kurzem ergeben, dass Latentbot wurde Opfer in den Vereinigten Staaten zu beeinflussen, Großbritannien, Kanada, Brasilien, Peru, Polen, Singapur, Südkorea, Vereinigte Arabische Emirate.
Seine Opfer sind in erster Linie in den Finanz- und Versicherungssektor. Jedoch, andere Sektoren wurden, ebenfalls gefährdet.
Latentbot Backdoor-Funktionen
Die Verteilung Techniken, die von der Malware-Pipette verwendet wird, kann nicht innovativ sein, aber die Nutzlast des Angriffs (Latentbot) gefangen hat auf jeden Fall die Forscher die Aufmerksamkeit. Nicht nur, dass sie mehrere Schichten von Verschleierungs implementieren, aber es hat auch einen einzigartigen Mechanismus exfiltration.
Dies sind die Funktionen von Latentbot, durch die FireEye Forscherteam zusammengefasst:
1. Mehrere Schichten von Verschleierungs
2. Entschlüsselt Strings im Speicher entfernt werden, nachdem sie verwendet werden
3. Ausblenden von Anwendungen in einem anderen Desktop
4. MBR Wisch Fähigkeit
5. Ransomlock Ähnlichkeiten wie in der Lage den Desktop zu sperren
6. Versteckte VNC-Verbindung
7. Modulares Design, was eine einfache Updates auf Opfer Maschinen
8. List: Rückruf Verkehr, APIs, Registry-Schlüssel und andere Indikatoren sind entschlüsselt dynamisch
9. Drops Pony Malware als Modul zu tun, als infostealer
Latentbot Payload, Zweck der Angriffe
Abgesehen davon, dass schleich, Latentbot ist so konzipiert, so lange seine bösartigen Code in dem Speicher der Maschine zu halten, wie es gebraucht wird. Dann, der Code wird gelöscht. Als Forscher weisen darauf hin,, die meisten der codierten Daten werden entweder in den Programmressourcen oder im Register befindet. Auch, eine spezifische, Maß-Verschlüsselungsalgorithmus wird über die verschiedenen Komponenten geteilt. Die Befehls- und Steuerungskommunikation werden ebenfalls verschlüsselt. Deswegen, Latentbot Familie Binärdateien werden mit einem generischen Namen erkannt, z.B.. Trojan.Generic.
Hier ist eine Liste von einigen seiner Erfassungen von AV-Hersteller:
- Trojan.Win32.Generic!BT
- Trojan.GenericKD.2778570
- Trojan.Generic.D2A65CA
- Trojan.Generic.D2A65CA
- UnclassifiedMalware
- Trojan.MSIL.Crypt
- Backdoor / Androm.tzz
Latentbot des Infektionsprozesses
Der Angriff wird ausgelöst durch eine Spam-E-Mail mit schädlichen Anhängen öffnen. Sobald eine solche Befestigung ausgeführt wird, der Computer wird mit einer Malware-Downloader infiziert werden, dass der Tropfen wird LuminosityLink RAT (Remote Access Trojan). Sobald bestimmt die RAT, wenn die jeweilige Maschine die Anforderungen erfüllt (z.B.. wenn PC auf Windows Vista, es werden nicht angegriffen), die Nutzlast der Operation a.k.a. Latentbot fallen gelassen. Als Ganzes, die Installation von Latentbot ist anspruchsvoll, geht durch sechs verschiedene Stufen. Der Hauptzweck ist seine Aktivitäten und Bypass-Reverse-Engineering zu verbergen.
Führt Latentbot gezielte Angriffe?
Laut den Forschern, die schleichBackdoor nicht gezielt, zumindest nicht in der Industrie hat sich betroffen. Jedoch, es ist selektiv, wenn es um die Arten von Windows-System kommt zum Angriff. Latentbot wird nicht ausgeführt, auf dem Windows Vista oder Server 2008, und es verwendet manipulierten Websites für ihre Kommando- und Kontrollinfrastruktur. So, die Infektion Prozess wird einfacher, und die Detektions schwieriger.
Latentbot für einen Grund
Latentbot ist in der Tat latent - es hat für stille bösartige Aktivitäten entwickelt. Die mehreren Schichten von Verschleierung und die Tatsache, dass er die Daten aus dem Speicher des Computers entfernen kann, wenn es nicht benötigt wird, um es ziemlich gefährlich und schleich. Weiter, Latentbot kann auch als handeln Ransomware durch das Opfer die Desktop-Sperren und Fallenlassen der Pony Malware auf dem MBR des Opfers (Master Boot Record).
Um Latentbot noch ängstlich, es wurde über eine modulare Infrastruktur entwickelt, sie in der Lage macht sich mit neuen Features zu aktualisieren, wenn eine solche erforderlich sind,.
Abschließend, FireEye Forscher sagen, dass Latentbot "laut genug" ist mit Hilfe einer fortschrittlichen Lösung im Speicher erkannt werden.
Spy Hunter Scanner nur die Bedrohung erkennen. Wenn Sie wollen, dass die Bedrohung automatisch entfernt wird, Müssen sie die vollversion des anti-malware tools kaufen.Erfahren Sie mehr über SpyHunter Anti-Malware-Tool / Wie SpyHunter Deinstallieren
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: