セキュリティの専門家は間違いなくますます多くのバックドアやボットネットに遭遇するでしょう, ランサムウェアとAPTの感染率の増加を目の当たりにしている (高度な持続的脅威).
大変興味深いことに, 新たに検出されたバックドアとボットネットはまったく新しいものではない可能性があります. どうして? このような脅威は、数か月、さらには数年も検出されない可能性があります. で脅威が発見された場合 2015, 必ずしも脅威が最近作成されたことを意味するわけではありません.
サイバーセキュリティ教育を改善する:
強力なグループによって制御されるAPTバックドア
NemesisBootkitが財務データを収集
Ponmocopボットネットを恐れるべき理由
最新のカバーされていないバックドアの1つは、非常にステルスであることが証明されています. 吹き替えLatentbot, 永続的な脅威は少なくともそれ以来存在しています 2013. FireEyeの研究者は最近、Latentbotが米国の犠牲者に影響を及ぼしていることを明らかにしました, イギリス, カナダ, ブラジル, ペルー, ポーランド, シンガポール, 韓国, アラブ首長国連邦.
その犠牲者は主に金融および保険セクターにあります. でも, 他のセクターも同様に危険にさらされています.
Latentbotバックドア機能
マルウェアドロッパーで採用されている配布手法は革新的ではないかもしれませんが、攻撃のペイロードです (Latentbot) 間違いなく研究者の注目を集めています. 数層の難読化を実装するだけでなく、独自の抽出メカニズムも備えています.
これらはLatentbotの機能です, FireEye研究チームによって要約されました:
1. 難読化の複数の層
2. メモリ内の復号化された文字列は、使用後に削除されます
3. 別のデスクトップでアプリケーションを非表示にする
4. MBRワイプ能力
5. デスクトップをロックできるなどのランサムロックの類似点
6. 隠されたVNC接続
7. モジュール設計, 被害者のマシンを簡単に更新できる
8. ステルス: コールバックトラフィック, API, レジストリキーおよびその他のインジケータは動的に復号化されます
9. infostealerとして機能するモジュールとしてPonyマルウェアをドロップします
Latentbotペイロード, 攻撃の目的
ステルスであることに加えて, Latentbotは、悪意のあるコードを必要な限りマシンのメモリに保持するように設計されています. それで, コードは削除されます. 研究者が指摘するように, エンコードされたデータのほとんどは、プログラムリソースまたはレジストリにあります. また, 特定の, カスタムメイドの暗号化アルゴリズムは、さまざまなコンポーネント間で共有されます. コマンドアンドコントロール通信も暗号化されます. このため, Latentbotのファミリバイナリは一般名で検出されます, 例えば. Trojan.Generic.
これは、AVベンダーによる検出の一部のリストです。:
- Trojan.Win32.Generic!BT
- Trojan.GenericKD.2778570
- Trojan.Generic.D2A65CA
- Trojan.Generic.D2A65CA
- UnclassifiedMalware
- Trojan.MSIL.Crypt
- Backdoor / Androm.tzz
Latentbotの感染プロセス
攻撃は、悪意のある添付ファイルを含むスパムメールを開くことによってトリガーされます. そのような添付ファイルが実行されると, コンピューターはマルウェアダウンローダーに感染し、マルウェアダウンローダーがドロップします LuminosityLink RAT (リモートアクセス型トロイの木馬). 特定のマシンが要件を満たしているかどうかをRATが判断したら (例えば. PCがWindowsVista上にある場合, 攻撃されません), 操作のペイロード別名. Latentbotが削除されました. 全体として, Latentbotのインストールプロセスは洗練されています, 6つの異なる段階を経る. 主な目的は、その活動を隠蔽し、リバースエンジニアリングを回避することです。.
Latentbotは標的型攻撃を実行しますか?
研究者によると, ステルスバックドアは標的にされていません, 少なくとも影響を受けた業界では. でも, 攻撃するWindowsシステムの種類に関しては選択的です. LatentbotはWindowsVistaまたはServerでは実行されません 2008, また、コマンドアンドコントロールインフラストラクチャに侵害されたWebサイトを使用します. したがって, 感染プロセスが容易になります, そして検出はより困難です.
理由のためのLatentbot
Latentbotは確かに潜在的です–それはサイレントな悪意のある活動のために設計されています. その数層の難読化と、データが不要になるとコンピュータのメモリからデータを削除できるという事実により、データは非常に危険でステルスになります。. さらに, Latentbotは、 ランサムウェア 被害者のデスクトップをロックし、 ポニーマルウェア 被害者のMBRについて (マスターブートレコード).
Latentbotをさらに恐ろしくするために, モジュラーインフラストラクチャを介して設計されているため、必要に応じて新しい機能でアップグレードできます。.
結論は, FireEyeの研究者は、Latentbotは、高度なソリューションの助けを借りてメモリ内で検出されるのに「十分にノイズが多い」と述べています.
スパイハンタースキャナーは脅威のみを検出します. 脅威を自動的に削除したい場合, マルウェア対策ツールのフルバージョンを購入する必要があります.SpyHunterマルウェア対策ツールの詳細をご覧ください / SpyHunterをアンインストールする方法