Ce que les chercheurs logiciels malveillants rencontrent habituellement dans leurs analyses des programmes malveillants par jour est le code réutilisé. En réalité, Le recyclage du code est quelque chose que tous les développeurs ont tendance à faire, codeurs malveillants inclus. La plupart des nouveaux logiciels malveillants est en effet réutilisé, redésigné code source qui a été modifié pour répondre aux besoins des campagnes actuelles de logiciels malveillants. Les chercheurs en sécurité viennent souvent à travers des similitudes entre les nouvelles attaques et vieux logiciels malveillants qui ont été réécrits pour cibler de nouvelles victimes.
Un exemple relativement récent comprend des chercheurs de Kaspersky Lab et Kings College de Londres qui a trouvé analogie attaques Turla de 2011 et 2017, et un très vieux APT il y a deux décennies. Les chercheurs avait pris les journaux de Moonlight Maze, une attaque qui a eu lieu à la fin des années 90, d'un administrateur informatique maintenant à la retraite dont le serveur avait été utilisé comme proxy pour lancer les attaques. Tout en examinant les journaux, les chercheurs ont conclu que le même code était encore utilisé dans les attaques modernes.
Pourquoi les pirates préfèrent généralement de réutiliser l'ancien code au lieu d'écrire leur propre?
Comme souligné par Marc Laliberte, analyste des menaces à WatchGuard Technologies, le recyclage de l'ancien code logique. Pourquoi réinventer la roue, quand un autre développeur a déjà fait un très bon travail et a fourni une solution de travail? Bien que la réutilisation de code dans les logiciels malveillants peuvent rendre les méthodes de détection à base de signatures plus efficace dans certains cas, il est surtout à temps pour les pirates de faire un travail supplémentaire sur la prévention de la détection et de l'efficacité d'attaque pour créer un produit final plus dangereux, Laliberte dit.
Non seulement les pirates utilisent l'ancien code dans de nouvelles attaques, mais ils réutilisent également d'autres mécanismes tels que les modèles d'hameçonnage de lance, macros et autres formes d'ingénierie sociale.
Nous avons écrit récemment au sujet d'une nouvelle étude qui a révélé comment les attaquants ont tendance à réutiliser les sites Web de phishing à travers plusieurs hôtes en regroupant les ressources du site en kit de phishing. Ces kits sont généralement téléchargés sur un hôte compromis. Les fichiers contenus dans le kit sont extraits, et des e-mails de phishing sont envoyés en tête sur le nouveau site de phishing. Les chercheurs ont examiné 66,000 URL et plus 7,800 kits de phishing. Voici comment ils ont trouvé deux kits qui ont été utilisés sur plus de 30 hôtes. Une autre conclusion intéressante comprend 200 cas de kits de phishing backdoors, ce qui signifie que les auteurs du kit de phishing vendent des kits backdoors à d'autres attaquants afin qu'ils obtiennent l'accès aux hôtes vulnérabilisés.
Un autre exemple qui illustre la mise en œuvre de l'ancien code ou connu dans de nouvelles attaques est Mirai - botnet Reaper. Il y a quelques mois, des chercheurs de Qihoo 360 et Check Point a expliqué que le botnet Reaper IdO utilisé les exploits connus et les faiblesses de sécurité afin d'infiltrer les machines non sécurisées. Simplement dit, l'auteur du botnet Reaper utilisé Mirai comme une base sur laquelle d'une manière beaucoup plus efficace pour l'exploitation a été créée. En un mot, Reaper a ajouté une nouvelle exploitation des défauts connus IdO au code source de Mirai, ainsi que l'utilisation du langage de programmation LUA qui a rendu plus sophistiqué que son prédécesseur.
Reaper Botnet Malware – Qu'est-ce et comment pour protéger les appareils IdO
Ayons aussi un coup d'oeil à la silence cheval de Troie récemment découvert par des chercheurs de Kaspersky Lab. Dans ces nouvelles attaques, Les auteurs de silence utilisaient une technique de piratage informatique très efficace - obtenir un accès permanent aux réseaux bancaires internes, enregistrements vidéo des activités quotidiennes des machines des employés de la banque, acquérant ainsi des connaissances sur la façon dont le logiciel est utilisé. Cette connaissance a été appliqué par la suite de voler autant d'argent que possible.Researchers ont déjà observé cette technique dans Carbanak ciblées opérations.
On peut trouver d'autres exemples dans les attaquants de manière utilisé le code source de fuite par les courtiers ombre. Les pirates informatiques ont été prompts à adopter et reformater le code pour mettre en ransomware ransomworm attaques comme dans les attaques WannaCry et NotPetya.
les logiciels malveillants de recyclage ne va nulle part. Préparez-vous
L'utilisation vieux froid pour construire de nouveaux logiciels malveillants et lancer de nouvelles campagnes est non seulement une tendance, comme il ressort par des événements récurrents. Les pirates informatiques vont sûrement continuer la pratique du « recyclage » des connaissances des logiciels malveillants et ressuscitant l'ancien code. De nouvelles campagnes dévastatrices continueront à lancer et mettre en danger les utilisateurs’ Information personnelle, les finances et la sécurité globale en ligne. Depuis la prévention est la meilleure mesure anti-malware, nous avons préparé quelques conseils utiles pour mettre en œuvre dans les routines quotidiennes. Vous pouvez également jeter un oeil à quelques-uns des meilleurs Conseils anti-ransomware publié dans notre forum.
- Assurez-vous d'utiliser une protection de pare-feu supplémentaire. Le téléchargement d'un second pare-feu est une excellente solution pour toutes les intrusions potentielles.
- Assurez-vous que vos programmes ont moins de pouvoir administratif sur ce qu'ils lisent et écrire sur votre ordinateur. Faites-les vous invitent accès administrateur avant de commencer.
- Utilisez des mots de passe forts. Des mots de passe forts (ceux qui ne sont pas de préférence mots) sont plus difficiles à craquer par plusieurs méthodes, y compris brute forcer, car il comprend des listes de passe avec des mots pertinents.
- Éteignez lecture automatique. Cela protège votre ordinateur des fichiers exécutables malveillants sur des clés USB ou autres supports de mémoire externes qui sont immédiatement insérés dans ce.
- Désactiver le partage de fichiers - recommandé si vous avez besoin le partage de fichiers entre votre ordinateur par mot de passe protéger pour limiter la menace que pour vous-même si elles sont infectées.
- Eteignez tous les services à distance - cela peut être dévastateur pour les réseaux d'affaires, car il peut causer beaucoup de dégâts sur une grande échelle.
- Si vous voyez un service ou un processus qui est de Windows externe et pas critique et est exploitée par des pirates (Comme Flash Player) désactiver jusqu'à ce qu'il y est une mise à jour qui corrige l'exploit.
- Assurez-vous de télécharger et installer les correctifs de sécurité critiques pour vos logiciels et OS.
- Configurez votre serveur de messagerie pour bloquer et supprimer des fichiers joints suspect contenant des emails.
- Si vous avez un ordinateur compromis dans votre réseau, assurez-vous d'isoler immédiatement en éteignant et en le déconnectant à la main à partir du réseau.
- Eteignez ports infrarouges ou Bluetooth - les pirates aiment à les utiliser pour exploiter les périphériques. Dans le cas où vous utilisez Bluetooth, assurez-vous que vous surveillez tous les périphériques non autorisés qui vous demandent de jumeler avec eux et de déclin et d'enquêter sur toutes les suspects.
- Employer une puissante solution anti-malware pour vous protéger contre les menaces futures automatiquement.
scanner SpyHunter ne détecte que la menace. Si vous voulez que la menace d'être retiré automatiquement, vous devez acheter la version complète de l'outil anti-malware.En savoir plus sur l'outil SpyHunter Anti-Malware / Comment désinstaller SpyHunter