ESETの研究者は、特別に構成されたUSBドライブを介してアクティブ化されるInfostealerトロイの木馬を特定しました. 情報スティーラーは、検出されないウイルス対策ソフトウェアをすり抜けて、Windowsで正当なsvchostプロセスとして実行される可能性があります. ESETによって指定されたマルウェアの検出名は、ペイロードの場合はWin32 / PSW.Stealer.NAI、ローダーの場合はWin32/TrojanDropper.Agent.RFTです。. マルウェアはサイバーセキュリティ分野に関心を持っています, ニックネームが付けられています “USB泥棒”.
USB泥棒に関する技術情報
マルウェアをコピーする他の情報と同様, これには、方法論的に動作するいくつかの段階があります, greatsoftline.comの研究者が報告.
→ ステージ 1 ローダー>ステージ 2 ローダー>ステージ 3 ローダー>ステージ 4 ペイロードドロッパーとデータ盗難
最初の3つの段階はすべて、主にコンピューターの感染の成功に向けられています。, と 以下のシステム情報を考慮に入れています:
- ペイロードはUSBから実行されますか?(ステージ 1)
- ユーザーはポータブル感染ローダーを開きますか? (ステージ 1)
- 起動された感染ファイルは、正常に検証されるように構成されますか??(ステージ 2)
- 収集された情報は、感染とデータ盗難プロセスの中断を防ぐのに十分ですか?? (もし、そうなら, マルウェアは感染プロセスを停止します)(ステージ 2)
- 被害者のPC上のAntVirusソフトウェアが実行されており、リアルタイムで保護されていますか?(ステージ 3).
第4段階 実際のデータが盗まれている場所です. このステージのモジュールは、新しい svchost.exe 次の場所で処理します:
→ %windir% system32
このモジュールは、最初に盗まれてまったく同じドライブに転送されるデータに自動的に優先順位を付けるように特別に構成されています。. 初心者向け, 研究者は、マルウェアが完全なHKCUレジストリツリーデータを盗むと指摘しています. それに加えて, 画像とドキュメントを検索します. これは、「WinAudit」と呼ばれる無料のアプリケーションを介して行われると考えられています. ドライブに正常にコピーされたファイルは、ECを使用して暗号化されます (楕円曲線) サイファー.
それはどのようにそれ自体を保護しますか
このマルウェアは非常に注意深く設計されています. 実行可能ファイルがあります(モジュール) これらの実行可能ファイルの構成ファイルも同様です. サイバーセキュリティエンジニアがそれを調査するのを防ぐため, これらのモジュールで強力なAES-128暗号化アルゴリズムが使用されています.
これだけじゃない, しかし、その実行可能ファイルの名前は完全にランダムであり、検出されたすべてのマルウェアサンプルに対して, USB泥棒は異なるファイル名を持っている可能性があります. このファイル暗号化メカニズムは非常によく知られています CryptoWall 4.0 ランサムウェア 暗号化するファイルに同じ方法を使用します, ここでは、類似または同じ構成が使用されている可能性があります.
それらの保護メカニズムに加えて, マルウェアコンポーネントを搭載したUSBドライブは、このドライブからのみこれらの特定のモジュールを実行できるように特別に構成されています. この意味は USBドライブを介してのみ正常に実行されるため、他の場所からマルウェアを実行することはできません。.
正常に復号化した後 AES-128 マルウェアの暗号化されたモジュール, からの研究者 GreatSoftLine その結果、このマルウェアは上記で特定されたステージを使用すると結論付けました, そのステージを意味します 1 ステージをドロップします 2 データなど.
結論
このマルウェアの機能は、あまり普及していない可能性があります. ただし、ローカルエリアネットワーク内の特定のコンピュータまたはデバイスを標的とする攻撃者の場合(LAN) そのデータを盗むことを目標に, このタイプの攻撃は非常に効果的です. 初心者向け, 地元企業の多くのユーザーは、ハッカーがデータを盗む機会になる可能性があります. ネットワークを保護するときに考慮する必要があるコンピュータのローカルネットワークのリスクは次のとおりです。:
- 内部の人が適用しています “ハンズオン” アプローチ.
- 「ドロップドライブ」ハック. –誰かが忘れたり紛失したりしているように見えるが、意図的に行われたフラッシュドライブ. これは、紛失したドライブに情報がある場合に特に効果的です。, あなたの会社のロゴのように, 例えば.
- 他のデバイスのように見えるように設計されたUSBドライブ (電話, ワイヤレスマウスコネクタなど)
肝心なのは、ネットワーク内のユーザーの広範な教育が必要であり、コンピューターの特定の要素へのアクセスがある程度制限されている必要があるということです。. それをして、 推奨されるセキュリティのヒントに従う 強力なマルウェア対策ソフトウェアを組み合わせることで、全体的な保護を大幅に強化するための優れたレシピになります.
Ventsislav Krastev
Ventsislavは、SensorsTechForumのサイバーセキュリティの専門家です。 2015. 彼は研究してきました, カバー, 最新のマルウェア感染に加えて、ソフトウェアと最新の技術開発のテストとレビューで被害者を支援します. マーケティングも卒業した, Ventsislavは、ゲームチェンジャーとなるサイバーセキュリティの新しいシフトとイノベーションを学ぶことに情熱を注いでいます. バリューチェーン管理を学んだ後, システムアプリケーションのネットワーク管理とコンピュータ管理, 彼はサイバーセキュリティ業界で彼の本当の呼びかけを見つけ、オンラインの安全性とセキュリティに向けたすべてのユーザーの教育を強く信じています.
フォローしてください: