Security experts zal zeker struikelen op meer en meer backdoors en botnets, zoals we zijn getuige van een verhoogde besmettingsgraad van ransomware en APT (advanced persistent threat).
Interessant genoeg, nieuw gedetecteerde backdoors en botnets mag geen nieuwe at all. Waarom? Dergelijke bedreigingen kunnen onopgemerkt blijven voor maanden en zelfs jaren. Als een bedreiging wordt ontdekt in 2015, Het hoeft niet te betekenen dat de dreiging onlangs werd opgericht.
Verbeter uw Cyber Security Education:
APT Backdoors Gecontroleerd door een sterke groep
Nemesis bootkit Oogsten Financial Data
Waarom u moet vrezen Ponmocop Botnet
Een van de nieuwste ongedekte backdoors heeft bewezen zeer stealthy te zijn. dubbed Latentbot, de aanhoudende dreiging is rond ten minste sindsdien 2013. Onderzoekers van FireEye onlangs onthuld dat Latentbot is van invloed zijn slachtoffers in de Verenigde Staten, Verenigd Koninkrijk, Canada, Brazilië, Peru, Polen, Singapore, Zuid-Korea, Verenigde Arabische Emiraten.
De slachtoffers zijn vooral in de financiële en verzekeringssector. Echter, andere sectoren zijn eveneens aangetast.
Latentbot Backdoor Capabilities
De verdeling technieken die door de malware dropper misschien niet vernieuwend, maar de lading van de aanval (Latentbot) heeft zeker gevangen aandacht van de onderzoekers '. Niet alleen uit te voeren verschillende lagen van verwarring, maar het heeft ook een unieke exfiltratie mechanisme.
Dit zijn de mogelijkheden van Latentbot, samengevat door de FireEye onderzoeksteam:
1. Meerdere lagen van verduistering
2. Gedecodeerd strings in het geheugen worden verwijderd na gebruik
3. Verbergen van applicaties in een andere desktop
4. MBR vegen vermogen
5. Ransomlock overeenkomsten, zoals de mogelijkheid om de desktop te vergrendelen
6. Verborgen VNC Connection
7. Modulair ontwerp, zodat u gemakkelijk updates voor slachtofferhulp machines
8. heimelijkheid: Terugbellen Traffic, APIs, Registersleutels en alle andere indicatoren worden dynamisch gedecodeerd
9. Drops Pony malware als een module op te treden als infostealer
Latentbot Payload, Doel van de aanvallen
Naast het feit dat stealthy, Latentbot is ontworpen om de kwaadaardige code in het geheugen van de machine voor zo lang houden als het nodig is. Dan, de code wordt verwijderd. Zoals onderzoekers wijzen erop, de meeste van de gecodeerde gegevens zich bevinden ofwel in de programmamiddelen of in het register. Ook, een specifiek, custom made encryptie-algoritme wordt verdeeld over de verschillende onderdelen. Het commando en controle mededelingen worden ook gecodeerd. Door dit, familie binaries Latentbot worden gedetecteerd met een generieke naam, b.v.. Trojan.Generic.
Hier is een lijst van enkele van zijn detecties door AV leveranciers:
- Trojan.Win32.Generic!BT
- Trojan.GenericKD.2778570
- Trojan.Generic.D2A65CA
- Trojan.Generic.D2A65CA
- UnclassifiedMalware
- Trojan.MSIL.Crypt
- Backdoor / Androm.tzz
Latentbot's infectieproces
De aanval wordt veroorzaakt door het openen van een spam e-mail met kwaadaardige attachments. Zodra een dergelijk beslag wordt uitgevoerd, de computer wordt geïnfecteerd met een malware downloader dat zal dalen de LuminosityLink RAT (Remote Access Trojan). Zodra de RAT bepaalt of het specifieke apparaat aan de vereisten (b.v.. Als PC is op Windows Vista, het zal niet worden aangevallen), de lading van de operatie a.k.a. Latentbot is gedaald. Als geheel, de installatie van Latentbot is verfijnd, gaan door zes verschillende stadia. Het belangrijkste doel is om haar activiteiten en bypass reverse engineering te verbergen.
Heeft Latentbot voeren gerichte aanvallen?
Volgens onderzoekers, de sluipende achterdeur is niet gericht, althans niet in de industrie het heeft getroffen. Echter, het is selectief als het gaat om de aard van de Windows-systeem aan te vallen. Latentbot zal niet draaien op Windows Vista of Server 2008, en maakt gebruik van gecompromitteerde websites voor de command and control-infrastructuur. Zo, het infectieproces gemakkelijker, en de detectie moeilijker.
Latentbot om een Reden
Latentbot is inderdaad latent - het is ontworpen voor een stille kwaadaardige activiteiten. De verschillende lagen van vertroebeling en het feit dat de gegevens uit het geheugen van de computer kan verwijderen zodra het niet nodig maken heel gevaarlijk en heimelijk. Bovendien, Latentbot kan ook fungeren als een ransomware door het blokkeren van het bureaublad van het slachtoffer en het schrappen van de pony malware op MBR van het slachtoffer (Master Boot Record).
Om nog meer angstig Latentbot maken, Het is gemaakt via een modulair infrastructuren zodat staat is zichzelf verbeteren met nieuwe functies wanneer dergelijke nodig.
Tenslotte, FireEye onderzoekers zeggen dat Latentbot is 'noisy genoeg' te detecteren in het geheugen met behulp van een geavanceerde oplossing.
Spy Hunter scanner zal alleen de bedreiging op te sporen. Als u wilt dat de bedreiging voor automatisch verwijderd, je nodig hebt om de volledige versie van de anti-malware gereedschap kopen.Ontdek meer over SpyHunter Anti-Malware Tool / Hoe te verwijderen SpyHunter
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: