Dexphot is een van de nieuwste stammen van polymorfe malware gedetecteerd door de beveiliging onderzoekers. De malware aangevallen bijna 80,000 machines het hele jaar door.
Dexphot Geïnfecteerde Tienduizenden Computers
Dexphot werd voor het eerst ontdekt in oktober 2018, en het heeft meerdere malen opgewaardeerd tot een niveau dat een analyse van de code werd een uitdagende taak. De malware opnieuw verscheen in juni 2019, wanneer het getroffen tienduizenden machines. De aanvallen verdwenen in een paar weken, en de malware werd gezien op minder dan 10,000 computers dagelijks.
Volgens Microsoft onderzoekers, Dexphot gebruikt verschillende geavanceerde methoden te ontwijken beveiligingssoftware, zoals lagen van verduistering, encryptie, en gerandomiseerde bestandsnamen om de installatie te verbergen. De malware is ook gebruikt fileless malware technieken om kwaadaardige code in het geheugen draaien, die bladeren bijna geen sporen voor forensische analyse.
Dexphot ook gekaapt legitiem systeem processen om kwaadaardige activiteiten te verhullen. Als niet gestopt, de malware liep ook een cryptogeld mijnwerker op het gecompromitteerde systeem, met monitoring services en geplande taken triggering re-infectie wanneer verdedigers proberen om de malware te verwijderen, Microsoft zei.
Omdat de malware weergegeven verfijnde gedrag, volharding, polymorfisme en technieken fileless, de enige manier om catch was het gebruik van gedrag gebaseerde detectie.
De vroege stadia van de Dexphot malware infectie bestond uit de volgende:
Een installateur twee URL
Een MSI-pakket is gedownload uit een van de URL's
Een met een wachtwoord beveiligd ZIP-archief
Laadinrichting DLL, die wordt gewonnen uit het archief
Een gecodeerd gegevensbestand dat drie extra uitvoerbare werkwijze die via uitholling in systeemprocessen geladen houdt
Dexphot's Polymorfisme
De malware gebruikt meerdere lagen van polymorfisme in het binaire is verdeeld. Sommige bestanden gebruikt door de malware werden ingesteld om elke verandering 20-30 notulen. De MSI uitgevoerd kan worden door de malware geleverd bevatte
Sommige bestanden ingezet door Dexphot zou elke verandering 20 of 30 notulen, waardoor het moeilijk is om haar activiteiten bijhouden. Geleverd als een MSI uitvoerbaar, het pakket bevatte een groot aantal bestanden die anders waren van de ene infectie naar de andere.
“De MSI-packages in het algemeen een schone versie van unzip.exe, een met een wachtwoord beveiligd ZIP-bestand, en een batch-bestand dat controleert of er momenteel geïnstalleerde antivirus producten. Echter, het batchbestand is niet altijd aanwezig, en de namen van de ZIP-bestanden en Loader DLL, evenals het wachtwoord voor het extraheren van het ZIP-bestand, allemaal veranderen van het ene pakket naar het volgende,“Microsoft zei.
Wist je dat? Polymorfe malware zal het virus signature elke keer dat het zelf een replica te veranderen en infecteert het volgende bestand. Hierdoor, zal het virus detectie te vermijden door AV software. In 2016, Webroot onderzoekers analyseerden meer dan 27 miljard URLs, 600 miljoen domeinen, 4 miljard IP-adressen, 20 mobiele applicaties, 10 miljoen verbonden sensors, en ten minste 9 miljoen file gedrag verslagen. In 97% van de infectie gevallen, malware werd geïdentificeerd als polymorfe, of unieke aan het systeem.