の新しい作品, どうやら, 標的を絞ったマルウェアがAlienVaultの研究者によって発見されました. 新しいマルウェア株, GzipDeと呼ばれ、サイバースパイキャンペーンで使用される可能性が最も高い, 次回の上海協力機構サミットに関する記事を使用.
GzipDeマルウェア操作の詳細
約1週間前, 研究者は、この領域を標的とする新しい悪意のある文書を検出しました. どうやら, ドキュメントには、おとりとしてレポートから取得したテキストが含まれています.
AlienVaultは、アフガニスタンのユーザーによって公開されたVirusTotalでブービートラップされたWord文書を発見しました。. これが彼らがマルウェアを発掘した方法です.
上記のブービートラップされた文書 (.docファイル) は、複数のサーバーとアーティファクトが展開される多段階感染の最初のステップです。. 悪意のある操作の最終段階は、Metasploitバックドアのインストールであるように見えます. でも, これは.NETダウンローダーほど面白くありません, カスタム暗号化方式を使用してプロセスメモリを難読化し、ウイルス対策の検出を回避します.
悪意のあるドキュメントがユーザーをだましてマクロを有効にしました, 一度有効にすると、VisualBasicスクリプトが実行されます. 次に、スクリプトはいくつかのPowerShellコードを実行しました, その後、PE32実行可能ファイルをダウンロードしました. プロセスは実際のマルウェア— GZipDe –研究者で終了しました 報告.
GZipDeは.NETでコーディングされているようです, そしてそれは使用するように設計されています “プロセスメモリを難読化し、ウイルス対策の検出を回避するカスタム暗号化方式.” GzipDeの最初の目的はダウンローダーとして機能することなので、, これは、マルウェアがリモートサーバーからより危険な部分をダウンロードすることを意味します. でも, 研究者の調査中, 通常は分析を終了するリモートサーバーが終了しました. でも, それはShodanであることが判明しました, IoT検索エンジン, サーバーにインデックスを付け、Metasploitペイロードを提供するサーバーを記録しました.
サーバー, 175.194.42[.]8, Metasploitペイロードを配信します. システム検出をバイパスするためのシェルコードが含まれています (有効なDOSヘッダーがあるように見えるため) およびMeterpreterペイロード – 有能なバックドア. 例えば, システムから情報を収集し、コマンドアンドコントロールサーバーに接続してさらにコマンドを受信することができます.
加えて, シェルコードはDLL全体をメモリにロードします, したがって、情報がディスクに書き込まれていないときに動作できるようになります. この操作は、リフレクティブDLLインジェクションとして知られています. この時点から, 攻撃者は、昇格された特権を取得してローカルネットワーク内を移動するために、他のペイロードを送信できます。, 研究者たちは結論を下した.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: