Gli esperti di sicurezza sarà sicuramente inciampare su sempre più backdoor e botnet, come stiamo assistendo a un aumento del tasso di infezione di ransomware e APT (minacce persistenti avanzate).
È interessante notare che, nuova backdoor e botnet rilevati non possono essere nuovi a tutti. Perché? Tali minacce possono passare inosservati per mesi e persino anni. Se una minaccia viene scoperto in 2015, non significa necessariamente che la minaccia è stata recentemente creata.
Migliorare la vostra sicurezza Istruzione Cyber:
Backdoor APT controllata da un gruppo forte
Nemesis bootkit Raccolti Dati Finanziari
Perché si dovrebbe temere Ponmocop Botnet
Una delle ultime scoperte backdoor ha dimostrato di essere molto furtivi. Latentbot soprannominato, la minaccia persistente è stato intorno almeno dal 2013. I ricercatori FireEye recentemente rivelato che Latentbot è stato interessando vittime negli Stati Uniti, Regno Unito, Canada, Brasile, Perù, Polonia, Singapore, Corea del Sud, Emirati Arabi Uniti.
Le sue vittime sono principalmente nei settori finanziario e assicurativo. Tuttavia, altri settori sono stati compromessi e.
Latentbot possibili backdoor
Le tecniche di distribuzione utilizzati da contagocce malware potrebbe non essere innovativo ma il payload dell'attacco (Latentbot) ha sicuramente catturato l'attenzione dei ricercatori. Non solo implementare diversi livelli di offuscamento, ma ha anche un meccanismo unico exfiltration.
Queste sono le capacità di Latentbot, riassunti dal gruppo di ricerca FireEye:
1. Più livelli di offuscamento
2. stringhe decifrato in memoria vengono rimossi dopo l'uso
3. Nascondere applicazioni in un desktop diverso
4. MBR capacità asciugandosi
5. somiglianze Ransomlock come l'essere in grado di bloccare sul desktop
6. Hidden connessione VNC
7. Design modulare, consentendo un facile aggiornamenti sui computer delle vittime
8. Invisibile: richiamata traffico, API, chiavi di registro e tutti gli altri indicatori sono decifrati dinamicamente
9. Gocce Pony di malware come modulo di agire come Infostealer
Payload Latentbot, Scopo di attacchi
Oltre ad essere furtivo, Latentbot è progettato per mantenere il suo codice malevolo nella memoria della macchina finché è necessario. Poi, il codice sarà cancellato. Come ricercatori sottolineano, la maggior parte dei dati codificati si trova sia nelle risorse del programma o nel Registro di sistema. Anche, Uno specifico, algoritmo di crittografia su misura viene condiviso tra i vari componenti. Le comunicazioni di comando e controllo sono criptati. A causa di ciò, i binari della famiglia di Latentbot vengono rilevati con un nome generico, e.g. Trojan.Generic.
Ecco un elenco di alcuni dei suoi rilevamenti dai fornitori AV:
- Trojan.Win32.Generic!BT
- Trojan.GenericKD.2778570
- Trojan.Generic.D2A65CA
- Trojan.Generic.D2A65CA
- UnclassifiedMalware
- Trojan.MSIL.Crypt
- Backdoor / Androm.tzz
Processo di infezione di Latentbot
L'attacco è innescato con l'apertura di una e-mail di spam contenenti allegati dannosi. Una volta che tale allegato viene eseguito, il computer viene infettato da un downloader di malware in grado di far cadere il LuminosityLink RAT (Remote Access Trojan). Una volta che il RAT determina se la macchina particolare deve soddisfare i requisiti (e.g. se il PC è in Windows Vista, non sarà attaccata), il payload dell'operazione a.k.a. Latentbot è caduto. Nel complesso, il processo di installazione di Latentbot è sofisticato, passando attraverso sei diverse fasi. Lo scopo principale è quello di nascondere la sua attività e di bypass Reverse Engineering.
Non Latentbot eseguire attacchi mirati?
Secondo i ricercatori, la backdoor furtivo non è mirato, almeno non nelle industrie ha influenzato. Tuttavia, è selettiva per quanto riguarda i tipi di sistema di Windows per attaccare. Latentbot non verrà eseguito su Windows Vista o Server 2008, e utilizza siti web compromessi per la sua infrastruttura di comando e controllo. Così, il processo di infezione diventa più facile, e il rilevamento più difficile.
Latentbot per un motivo
Latentbot è davvero latente - è stato progettato per le attività dannose silenziose. I suoi diversi strati di offuscamento e il fatto che è possibile rimuovere i dati dalla memoria del computer una volta senza rendono molto pericoloso e furtiva. Inoltre, Latentbot può anche fungere da ransomware bloccando scrivania della vittima e far cadere il pony di malware sul MBR della vittima (Master Boot Record).
Per rendere ancora più paura Latentbot, è stato progettato tramite un'infrastruttura modulare rendendola capace di aggiornare se stesso con nuove caratteristiche quando tale sono necessarie.
Insomma, i ricercatori dicono che FireEye Latentbot è 'abbastanza rumoroso' essere rilevato in memoria con l'aiuto di una soluzione avanzata.
Spy Hunter scanner rileva solo la minaccia. Se si desidera che la minaccia da rimuovere automaticamente, è necessario acquistare la versione completa del tool anti-malware.Per saperne di più sullo strumento SpyHunter Anti-Malware / Come disinstallare SpyHunter