De Windows Update mechanismen via de Windows Background Intelligent Transfer Service (BITS) Gebleken is dat de gevaarlijke Stealth Falcon malware te leveren. Dit is de standaard elk van de toepassing van updates voor het Microsoft Windows-besturingssysteem. Een complex strategie wordt gebruikt voor het doel netwerken dringen.
Stealth Falcon Malware geleverd via Misbruikt Windows Update Mechanism
Een ervaren hacker collectieve actief infecteren computer slachtoffers door misbruik te maken van de belangrijkste manier van het toepassen van Microsoft Windows-updates, Dit wordt gedaan door een proces genaamd Windows Background Intelligent Transfer Service (BITS), het einddoel is om een gevaarlijke bedreiging genaamd Steath Falcon leveren. Het complex hacking strategie gebruikt door de aanvallers hen in staat stelt om netwerkverkeer dat afkomstig is van de gecompromitteerde apparaten en is gericht op de hacker gecontroleerde servers verbergen. Wat is bekend over de hackers is dat zij daar actief zijn geweest 2012 en staan bekend om een aantal door de staat gesteunde aanvallen tegen dissidenten hebben georkestreerd in de Verenigde Arabische Emiraat.
Wat onderscheidt dit specifieke aanval is dat de gemaskeerde verkeer gemakkelijk door firewalls en intrusion detection diensten kan passeren. Ook wordt de BITS mechanisme dat hoofdzakelijk wordt gebruikt voor het leveren van Windows Update pleisters gebruikt in combinatie met andere toepassingen, Mozilla is ook de vaststelling van het voor hun Firefox-browser. Standaard is op de witte lijst door de netwerken regels en wordt vertrouwd als een veilig verkeer. Momenteel het exacte mechanisme is onbekend maar er zijn een paar mogelijke infiltratie tactiek:
- geautomatiseerde Toolkits - Door het gebruik van het hacken van software en het invoeren in de populaire exploits de criminelen kan de zoektocht naar kwetsbare hosts te automatiseren. Wanneer één van hen wordt aangetroffen zal worden besmet en de belangrijkste scripts zullen de Stealth Falcon malware te leveren.
- phishing Strategies - De criminelen kunnen rekenen op frauduleuze e-mailberichten en faux websites die zich voordoen als legitiem landing pages.
- installateurs & payload Carriers - Een zeer populaire mechanisme is om misbruik installateurs van populaire toepassingen die vaak worden gebruikt door eindgebruikers. Dit wordt meestal gedaan door het nemen van de oorspronkelijke installateurs en wijzigen ze met de kwaadaardige code. Payload dragers kunnen elk bestand dat de infectie scripts en commando's kan uitvoeren zijn, vaak de hackers baseren op documenten over te steken alle populaire formaten: databases, tekstbestanden, spreadsheets en presentaties.
Stealth Falcon Malware Capabilities
Zodra de benodigde bestanden worden gedropt op de doelcomputer zal de bijbehorende Stealth Falcon zijn ingebouwd mechanisme start. De belangrijkste virus code wordt uitgevoerd in een DLL-bestand dat zich verhardt tot automatisch na gebruikerslogin. Het fungeert als een standaard Trojan backdoor de mogelijkheid om aansluiting te lopende processen - zowel systeem en gebruiksvriendelijke applicatie die. De lijst van commando's die kunnen worden uitgevoerd door de hoofdmotor zijn de volgende:
- CFG - configuratie update data
- K - Verwijder zelf
- RC - Voer de opgegeven toepassing
- DL - Schrijf gedownloade gegevens naar bestand
- CF - Bereid een bestand voor exfiltratie
- CFW - Exfiltrate en bestanden te verwijderen
De Stealth Falcon malware toegang, bewerken en zijn eigen waarden op te slaan in het Windows-register. Elke manipulatie van bestaande strings kan leiden tot ernstige problemen met de prestaties, fouten en verlies van gegevens. De malware kan ook het systeem te scannen en ind achterhalen of er sprake is van security-toepassingen en diensten running. Gevonden apparaten worden overbrugd of geheel verwijderd. Exposeren typische Trojan is voorzien van de Stealth Falcon malware zal ook de voortgang automatisch rapporteren aan een op afstand hacker bestuurde server via een beveiligde verbinding. Hierdoor kan de hackers om gebruikersgegevens te stelen, nemen de controle over hun systemen en ook andere bedreigingen inzetten.
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij: