危険なサンバーストトロイの木馬, ロシアのハッキンググループに関連していると考えられています, マイクロソフトの専門家チームによって考案された共同キルスイッチによって停止されました, GoDaddy, とFireEye. これは、先週のSolarWindsへの侵入後にセキュリティコミュニティで報告されました, ビジネスソフトウェア会社.
サンバースト型トロイの木馬を阻止する必要がある理由
先週のSolarWindsに対する侵入攻撃で使用された後、SunburstTrojanに関する多くの情報が利用可能になりました。. 会社に対するセキュリティインシデントは、と呼ばれる独自のアプリケーションを介して行われたと報告されました オリオン. 私たちが知っていることは、有名なロシアのハッキンググループが APT29 (別名として知られています “コージーベア”) その背後にあります. これは確認されていませんが, それは可能性のある可能性の1つです.
このニュース記事 “壊れた” から 論文 ワシントンポストで、ロシアのグループは米国政府に属する機関を標的としたスパイキャンペーンの背後にあると述べた. 新聞はそれらの情報源を明示的に指定していませんが, これは問題のかなりの研究を引き起こしました.
投稿情報によると, このハッカー集団の犯罪者は、SolarWindsOrionプログラムの修正バージョンである悪意のあるパッケージを使用して代理店の電子メールシステムに侵入することができました。. どうやら犯罪者は使用していた マルウェアに感染した更新 ターゲットネットワークへ. 攻撃ベクトルは電子メールシステムである可能性があります, 代理店がクラウドベースのサービスネットワークを使用している疑いがあります. これにより、一度に多数のデバイスに感染する可能性があります.
Orion by SolarWindsは、実際には、ネットワーク管理者がインフラストラクチャとサポートされているソフトウェアのインストールを追跡および測定する機能を提供する複雑なプラットフォームです。. この一連のプログラムとソリューションは、おそらく多くの企業ユーザーや大企業でも使用されています。, これは状況の深刻さを示しています. 情報によると SolarWinds自体が顧客に警告しました, しかし、それらの約半分だけがトロイの木馬に感染したパッケージを入手しています。.
浸透の主な方法は、これらの分布です 悪意のあるOrionの更新 — これは、会社が所有するサーバーをハイジャックするか、アプリケーションの脆弱性を使用してウイルスに感染したパッケージの配信をトリガーすることで可能になります. Sunburst Trojanは、ユーザーのデータを乗っ取り、侵入先のコンピューターの奥深くにインストールするように設計された高度なバックドアです。.
サンバースト型トロイの木馬の機能
キャプチャされたトロイの木馬のサンプルのおかげで、その機能の詳細な説明を提供できます. それらは特別な環境で分析され、セキュリティ研究者は侵害されたマシンでそれが正確に何をするかをチェックすることができます. 分析結果から, それは明らかです トロイの木馬は3月から使用されている可能性があります 2020.
このマルウェアカテゴリタイプの典型的な代表としてのSunburstTrojanは、システムの奥深くに隠れます. 配布されていることもあり、さまざまな危険なアクションを実行するようにプログラムできます。, システムの再構成を含む. それはのために設計されたメカニズムが含まれています セキュリティ検出をバイパスする 大きな遅れで自分自身を始めることによって. これは、関連する脅威が特定のシステムに展開された直後にウイルス感染が発生すると想定するアンチウイルスプログラムで使用される一般的なフィルターを克服します。. トロイの木馬ファイルの注目すべき機能のいくつかは次のとおりです。:
- データハーベスティング — マルウェアはさまざまな種類の情報を自動的に収集できます, それらがどのようにプログラムされているかに応じて. これには、さまざまな種類の犯罪目的で使用される可能性のある個人ユーザー情報が含まれる場合があります: 恐喝, 恐喝, 個人情報の盗難. これはシステム情報に拡張できます, 幅広いデータを抽出できます: 個々のオペレーティングシステム環境の値から使用されるハードウェアデバイスまで. 収集された情報に基づいて一意の識別子を作成するために、特別なアルゴリズムを利用することができます.
- Windowsレジストリの変更 — レジストリ値が変更された場合、ユーザーはパフォーマンスの問題が発生する可能性があります, 特定のサービスを実行できない, そしてデータの損失さえ.
- ファイルの削除 — このトロイの木馬を実行することで、バックアップやシャドウボリュームコピーなどの重要なファイルを削除できます。. オペレーティングシステムファイルを改ざんすると、リカバリを試みるときにさらに問題が発生する可能性があります.
- 追加のマルウェア配信 — このウイルスは高度な方法を使用してインストールされるため、ハッカーは他の脅威をバンドルする可能性があります, ランサムウェアを含む.
サンバーストトロイの木馬は、典型的な高度な動作パターンの一部である多くの高度なメカニズムに注目しています — インストールされているセキュリティソフトウェアのエンジンを追跡して無効にすることができます, ネットワークトラフィックを操作する, や。。など. その展開の状況を考えると, 侵害されたターゲット, と高度なレベル, ハッキンググループがおそらくそれを次の目的で使用していると推測できます 詳細な監視.
GoDaddyの共同チームによって考案されたキルスイッチによって停止されたサンバーストトロイの木馬, MicrosoftとFireEye
マルウェアの発見に続いて、状況の深刻さを考慮して、専門家の合同チームは、マルウェアがさらに伝播するのを防ぐためにキルスイッチを考案しました. マイクロソフトの専門家, GoDaddy, そしてFireEyeは、単一のハッカー制御ドメインがメインコマンドアンドコントロールサービスを操作していることを検出しました. このトロイの木馬は、ネットワークトラフィックをマスカレードし、ネットワークストリームを分析することで、アクティブな接続を確立できます。. 悪意のあるコマンドは特別な形式で送信されます, それらはと呼ばれます “仕事”. あらゆる種類のオプションがサポートされています, ファイル転送を含む, システムサービスを無効にする, 情報を収集する, 等々.
このトロイの木馬は、トラフィックの一部を 仮想プライベートネットワーク 侵害されたネットワーク上にその存在を隠そうとして. 3社が作成したキルスイッチにより、現在の攻撃の犯罪行為を検出してシャットダウンすることができます.
キルスイッチは、ドメインへのアクティビティを停止することにより、新しい感染を無効にし、以前の感染の実行をブロックします. でも, これにより、アクティブなエージェントのインストールや、それを介して展開されたその他のマルウェアは削除されません。. このために, すべてのコンピューターと企業ネットワークには、アクティブなディープウイルススキャンをお勧めします.
マーティン・ベルトフ
マーティンはソフィア大学で出版の学位を取得して卒業しました. サイバーセキュリティ愛好家として、彼は侵入の最新の脅威とメカニズムについて書くことを楽しんでいます.
フォローしてください: