I meccanismi di Windows Update attraverso lo sfondo di Windows Servizio trasferimento intelligente (BITS) è stato trovato per consegnare il pericolose forme di malware Stealth Falcon. Questa è l'impostazione predefinita qualsiasi di applicare gli aggiornamenti per il sistema operativo Microsoft Windows. Una strategia complessa viene utilizzato per penetrare le reti di destinazione.
Stealth Falcon malware distribuito mediante Windows Update Abused Meccanismo
Un collettivo hacker esperto sta infettando attivamente le vittime di computer abusando la principale modalità di applicazione degli aggiornamenti di Microsoft Windows, questo è fatto da un processo chiamato Finestre Background Intelligent Transfer Service (BITS), l'obiettivo finale è quello di fornire una pericolosa minaccia chiamato Steath Falcon. La strategia di hacking complesso utilizzato dagli aggressori permette loro di nascondere il traffico di rete proveniente dai dispositivi compromessi ed è diretto ai server degli hacker controllato. Quello che si sa circa gli hacker è che sono stati attivi dal 2012 e sono noti per aver orchestrato diversi attacchi sponsorizzati dallo stato contro i dissidenti negli Emirati Arabi Emirato.
Ciò che è distinta su questo particolare attacco è che il traffico mascherato può passare facilmente attraverso i firewall e servizi di rilevamento delle intrusioni. Il meccanismo BITS che viene utilizzato principalmente per la distribuzione di patch di Windows Update viene utilizzato anche con altre applicazioni, Mozilla sta inoltre adottando per il loro browser Firefox. Di default è nella lista bianca da regole reti ed è attendibile come un traffico sicuro. Al momento il meccanismo esatto non è noto tuttavia ci sono un paio di possibili tattiche di infiltrazione:
- Toolkit Automated - Utilizzando il software di hacking e inserendo exploit popolari i criminali in grado di automatizzare la ricerca di host vulnerabili. Ogni volta che si incontra uno di loro sarà infetto e gli script principali consegnerà il malware Stealth Falcon.
- Strategie di phishing - I criminali possono contare su messaggi truffa e-mail e siti web falsi che pongono come pagine di destinazione legittimi.
- installatori & I vettori payload - Un meccanismo molto popolare è quello di creare installatori dannosi delle applicazioni più diffuse che vengono spesso utilizzati dagli utenti finali. Questo di solito è fatto prendendo i programmi di installazione originale e modificarli con il codice maligno. vettori carico utile può essere qualsiasi file che può trasportare gli script e comandi di infezione, comunemente gli hacker si basano su documenti attraversano tutti i formati più diffusi: banche dati, file di testo, fogli di calcolo e presentazioni.
Funzionalità Stealth Falcon malware
Non appena i file necessari vengono eliminati sul computer di destinazione associati Stealth Falcon inizierà il suo meccanismo incorporato. Il codice del virus principale viene portato in un file DLL che si prefigge di avviare automaticamente al login dell'utente. Esso agisce come un backdoor Trojan standard di essere in grado di hookup a processi in esecuzione - sia di sistema e quelli applicativi degli utenti. La lista di comandi che possono essere eseguiti dal motore principale sono i seguenti:
- CFG - Aggiornamento dati di configurazione
- K - Disinstallare sé
- RC - Eseguire l'applicazione specificata
- DL - Scrivere dati scaricati su file
- CF - Preparare un file per exfiltration
- CFW - esfiltrare ed eliminare i file
Il malware stealth Falcon può accedere, modificare e archiviare i propri valori nel Registro di sistema di Windows. Qualsiasi manipolazione di stringhe esistenti può portare a gravi problemi di prestazioni, errori e perdita di dati. Il malware può anche eseguire la scansione del sistema e ind se ci sono tutte le applicazioni di sicurezza e servizi in esecuzione. Quelli che si trovano saranno escluse o interamente rimossi. Esporre Trojan caratteristiche tipiche del malware Stealth Falcon sarà anche segnalare il progresso automaticamente a un server degli hacker a controllo remoto tramite una connessione sicura. Questo permette agli hacker di rubare i dati degli utenti, assumere il controllo dei loro sistemi e di distribuire anche altre minacce.