Wat malware onderzoekers meestal tegenkomen in hun dagelijks malware analyses wordt hergebruikt code. In feite, hergebruik van code is iets alle ontwikkelaars hebben de neiging om te doen, kwaadaardige coders inclusive. De meeste nieuwe malware is in feite hergebruikt, re-branded source code die is aangepast aan de behoeften van de huidige malware campagnes voldoen. Beveiliging onderzoekers vaak komen over overeenkomsten tussen nieuwe aanvallen en oude malware die is herschreven om nieuwe slachtoffers te richten.
Een relatief recent voorbeeld omvat onderzoekers van Kaspersky Lab en Kings College in Londen, die analogie gevonden in Turla aanvallen van 2011 en 2017, en een zeer oude APT uit twee decennia geleden. De onderzoekers had logs genomen van Moonlight Maze, een aanval die in de late jaren '90 plaatsvond, van een inmiddels gepensioneerde IT-beheerder waarvan de server werd gebruikt als een proxy om de aanvallen te lanceren. Terwijl het onderzoeken van de logs, concludeerden de onderzoekers dat dezelfde code nog steeds werd gebruikt in de moderne aanvallen.
Waarom hebben hackers het algemeen de voorkeur aan de oude code te hergebruiken in plaats van het schrijven van hun eigen?
Als wees erop door Marc Laliberte, dreiging analist bij WatchGuard Technologies, de recycling van oude code zinvol. Waarom het wiel opnieuw uitvinden, wanneer een andere ontwikkelaar heeft al een goede baan en voorzien van een werkende oplossing? Terwijl het hergebruik van code in malware-handtekeningen gebaseerde detectiemethoden meer effectief zijn in sommige gevallen kan maken, het maakt meestal tijd voor hackers om extra werk bij detectie te vermijden en aanvallen werkzaamheid doen om een meer gevaarlijke eindproduct te creëren, Laliberte zegt.
Niet alleen hackers maken gebruik van oude code in nieuwe aanvallen, maar ze opnieuw te gebruiken ook andere mechanismen, zoals spear phishing patronen, macro's en andere vormen van social engineering.
We hebben onlangs schreef over een nieuwe studie waaruit bleek hoe aanvallers hebben de neiging om hergebruik phishing-websites op meerdere hosts door het bundelen van de site middelen in een phishing kit. Deze kits zijn meestal geupload naar een gecompromitteerde gastheer. De bestanden in de kit worden geëxtraheerd, en phishing e-mails worden verstuurd die leidt tot de nieuwe phishing-site. onderzoekers onderzocht 66,000 URLs en meer dan 7,800 phishing kits. Dit is hoe ze vond twee kits die werden gebruikt op meer dan 30 hosts. Een andere interessante bevinding is inclusief 200 Instanties van backdoored phishing kits, wat betekent dat phishing kit auteurs verkopen backdoored kits aan andere aanvallers, zodat zij toegang hebben tot de gecompromitteerde hosts krijgen.
Een ander voorbeeld dat de uitvoering van oude of bekende code in nieuwe aanvallen illustreert is Mirai - Reaper botnet. Een paar maanden geleden, onderzoekers van Qihoo 360 en Check Point legde uit dat de Reaper ivd botnet gebruikt bekende exploits en zwakke punten van de veiligheid met het oog op onveilige machines infiltreren. Simpel gezegd, de auteur van de Reaper botnet gebruikte Mirai als basis waarop een veel effectievere manier voor de exploitatie is gemaakt. In een notendop, Reaper toegevoegd nieuwe exploitatie van de bekende ivd gebreken aan Mirai broncode, evenals het gebruik van LUA programmeertaal waardoor het meer verfijnde dan zijn voorganger gemaakt.
Reaper botnetmalware – Wat is het en hoe te beschermen ivd Devices
Laten we ook een blik op de Silence Trojan onlangs ontdekt door onderzoekers van Kaspersky Lab. In deze nieuwe aanvallen, Silence van de auteurs werden met behulp van een zeer efficiënte hacking techniek - het verkrijgen van blijvende toegang tot interne banknetwerken, het maken van video-opnames van de dagelijkse activiteiten van de werknemer machines van de bank, dus kennis over hoe de software wordt gebruikt verwerven. Deze kennis werd later toegepast om zo veel geld te stelen als possible.Researchers eerder deze techniek hebben waargenomen in Carbanak gerichte operaties.
Meer voorbeelden zijn te vinden in de manier waarop aanvallers gebruikten de broncode gelekt door de Shadow Brokers. Hackers waren snel aan te nemen en hergebruiken van de code om ransomware te zetten in ransomworm aanslagen zoals in WannaCry en NotPetya aanvallen.
crypto Ransomworm, de Ultimate Ransomware Infectie van 2017?
Recycling malware gaat nergens heen. Wees voorbereid
Met behulp van oude koude om nieuwe malware te bouwen en lanceren van nieuwe campagnes is niet alleen een trend, zoals duidelijk door terugkerende gebeurtenissen. Hackers zal zeker doorgaan met de praktijk van “recycling” malware kennis en het doen herleven van oude code. Nieuwe verwoestende campagnes blijven lanceren en in gevaar te brengen gebruikers’ persoonlijke informatie, financiën en de algehele online beveiliging. Sinds preventie is de beste anti-malware maatregel, we hebben een aantal nuttige tips bereid zijn om te implementeren in de dagelijkse routines. U kunt ook een kijkje bij enkele van de beste anti-ransomware tips gepubliceerd in ons forum.
- Zorg ervoor dat u extra bescherming firewall. Het downloaden van een tweede firewall is een uitstekende oplossing voor eventuele inbraken.
- Zorg ervoor dat uw programma's hebben minder administratieve macht over wat zij lezen en schrijven op de computer. Laat ze vraagt u admin toegang voordat.
- Gebruik sterkere wachtwoorden. Sterkere wachtwoorden (bij voorkeur degenen die geen woorden zijn) zijn moeilijker te kraken door verscheidene werkwijzen, inclusief brute dwingen, omdat het bevat pas lijsten met relevante woorden.
- Schakel AutoPlay. Dit beschermt uw computer tegen kwaadaardige uitvoerbare bestanden op USB-sticks of andere externe geheugen vervoerders die onmiddellijk worden ingebracht in deze.
- Disable File Sharing - aanbevolen als u het delen van bestanden tussen uw computer te beveiligen met een wachtwoord aan de dreiging alleen om jezelf te beperken als besmet.
- Schakel op afstand diensten - dit kan verwoestende voor zakelijke netwerken, omdat het een veel schade kunnen veroorzaken op grote schaal.
- Als u een dienst of een proces dat externe en niet Windows kritisch en wordt uitgebuit door hackers (Zoals Flash Player) uitschakelen totdat er een update die lost de exploit.
- Zorg ervoor dat u downloaden en installeren van de kritieke security patches voor uw software en OS.
- Configureer uw mailserver te blokkeren en verwijderen van verdacht bestand attachment met e-mails.
- Als u een besmette computer in uw netwerk, zorg ervoor om meteen door het uit te schakelen en het loskoppelen van het met de hand uit het netwerk te isoleren.
- Schakel Infraroodpoorten of Bluetooth - hackers houden om ze te gebruiken om apparaten te exploiteren. In het geval van Bluetooth gebruik je, Zorg ervoor dat u controleren alle ongeautoriseerde apparaten die u vraagt om te koppelen met hen en verval en onderzoeken verdachte degenen.
- Gebruik een krachtige anti-malware oplossing om jezelf te beschermen tegen toekomstige bedreigingen automatisch.
SpyHunter scanner vindt u alleen de dreiging. Als u wilt dat de bedreiging voor automatisch verwijderd, je nodig hebt om de volledige versie van de anti-malware gereedschap kopen.Ontdek meer over SpyHunter Anti-Malware Tool / Hoe te verwijderen SpyHunter