Škodlivý software – malware – útočí v mnoha různých formách a měřítcích. Sofistikovanost malwaru se navíc v průběhu let výrazně vyvíjela. Útočníci si uvědomují, že pokus vložit celý balík malwaru do systému najednou není vždy tím nejefektivnějším způsobem.
Postupem času se malware stal modulárním. Některé varianty malwaru mohou používat různé moduly ke změně toho, jak ovlivňují cílový systém. Co je tedy modulární malware a jak funguje? Pojďme to zjistit prostřednictvím následujícího článku!
Modular Malware – Nová metoda tajného útoku ke krádeži dat
Modulární malware je nebezpečná hrozba, která napadá systém v různých fázích. Místo přímého útoku má malwarový modul sekundární přístup.
Dělá to tak, že nejprve nainstalujete pouze základní komponenty. Poté, namísto vytváření fanfár a upozorňování uživatelů na její přítomnost, se první modul zaměřuje na systém a kybernetickou bezpečnost; které části jsou primárně zodpovědné, jaký typ ochrany se používá, kde může malware najít zranitelnosti, jaké exploity mají největší šanci na úspěch atd.
Po úspěšné detekci místního prostředí může malwarový modul první fáze komunikovat se svým příkazovým a řídicím (C2) serverem. C2 pak může reagovat zasláním dalších instrukcí spolu s dalšími malwarovými moduly, aby využil specifického prostředí, ve kterém malware působí.
Modulární malware je výhodnější než malware, který spojuje všechny funkce do jednoho užitečného zatížení, konkrétně:
Modulární malware není novou hrozbou. Vývojáři malwaru již dlouhou dobu efektivně využívají modulární malwarové programy. Rozdíl je v tom, že bezpečnostní výzkumníci se setkávají s více malwarovými moduly v různých situacích. Výzkumníci také objevili masivní botnet Necurs (nechvalně známý distribucí variant ransomwaru Dridex a Locky ), který šíří malwarové moduly.
Existuje několik velmi zajímavých příkladů malwarových modulů. Zde je několik z nich.
VPNFilter je nejnovější verze malwaru, který napadá směrovače a zařízení internetu věcí (IoT) . Tento malware funguje ve třech fázích.
Malware první fáze kontaktuje server pro příkazy a řízení, aby stáhl modul druhé fáze. Modul druhé fáze sbírá data, provádí příkazy a může zasahovat do správy zařízení (včetně možnosti „zmrazit“ router, IoT zařízení nebo NAS). Druhá fáze může také stahovat moduly třetí fáze, které fungují jako zásuvné moduly pro druhou fázi. Třístupňový modul obsahuje paket pro detekci provozu SCADA, modul infekce a modul, který umožňuje malwaru stupně 2 komunikovat pomocí sítě Tor .
Více o VPNFilter se můžete dozvědět v následujícím článku: Jak detekovat malware VPNFilter předtím, než zničí router.
Bezpečnostní výzkumníci Palo Alto Networks objevili malware T9000 (nesouvisející s Terminátorem nebo Skynetem).
T9000 je nástroj pro sběr informací a dat. Po instalaci umožňuje T9000 útočníkům „zachycovat šifrovaná data, pořizovat snímky obrazovky konkrétních aplikací a konkrétně cílit na uživatele Skype “ a také na soubory produktů Microsoft Office. T9000 se dodává s různými moduly navrženými tak, aby se vyhnuly 24 různým bezpečnostním produktům a změnily proces instalace tak, aby zůstal nezjištěný.
DanaBot je vícestupňový bankovní trojan s různými pluginy, které útočníci používají k rozšíření jeho funkčnosti. Například v květnu 2018 byl DanaBot odhalen v sérii útoků na australské banky. V té době výzkumníci objevili balíček zásuvných modulů pro detekci infekcí, zásuvný modul pro vzdálené prohlížení VNC, zásuvný modul pro sběr dat a zásuvný modul Tor, který umožňuje bezpečnou komunikaci.
„DanaBot je bankovní trojan, což znamená, že je nutně do určité míry geograficky cílený,“ uvádí blog Proofpoint DanaBot. "Navzdory mnoha opatřením, která jsme viděli v kampani v USA, je stále snadné vidět aktivní růst, geografickou expanzi a sofistikovanost malwaru. Škody se zvyšují." Samotný malware obsahuje několik antianalytických funkcí, stejně jako pravidelně aktualizované moduly pro odcizení informací a vzdálené ovládání, které zvyšují jeho hrozbu pro cíle.
Článek kombinuje tři varianty malwarových modulů do jedné sekce, protože úžasní bezpečnostní výzkumníci z Proofpoint prozkoumali všechny tři současně. Tyto varianty malwarových modulů jsou podobné, ale mají různá použití. Kromě toho je CobInt součástí kampaně Cobalt Group, zločinecké organizace s vazbami na dlouhý seznam kyberzločinců v bankovním a finančním sektoru.
Marap a AdvisorsBot byly vytvořeny tak, aby se zaměřily na celý cílový systém pro obranu a zmapovaly síť a poté určily, zda má malware stáhnout celý náklad. Pokud cílový systém vyhovuje potřebám (např. má hodnotu), malware pokračuje do druhé fáze útoku.
Stejně jako ostatní verze malwarových modulů se Marap, AdvisorsBot a CobInt řídí třístupňovým procesem. První fází je obvykle e-mail s přílohou infikovanou malwarem pro účely prvotního zneužití. Pokud je exploit hotový, malware si okamžitě vyžádá druhou fázi. Druhý stupeň nese průzkumný modul pro vyhodnocení bezpečnostních opatření a síťového prostředí cílového systému. Pokud malware říká, že je vše v pořádku, poslední fáze stáhne třetí modul včetně hlavního užitečného zatížení.
Mayhem je o něco starší verze malwarového modulu. Poprvé se objevil v roce 2014. Mayhem je však stále příkladem skvělého modulárního malwaru. Malware, který objevili bezpečnostní výzkumníci v Yandexu, se zaměřuje na webové servery Linux a Unix. Instaluje se pomocí škodlivého skriptu PHP.
Po instalaci může skript volat několik pluginů, které určují optimální využití malwaru.
Pluginy zahrnují prolomení hesel hrubou silou zaměřené na účty FTP, WordPress a Joomla , webový prohledávač pro vyhledávání dalších zranitelných serverů a exploit OpenSLL Heartbleed.
Finální varianta malwarového modulu v dnešním článku je také jednou z nejúplnějších verzí. To je také jeden z nejvíce znepokojujících, a to z několika důvodů.
Za prvé, DiamondFox je modulární botnet prodávaný na různých podzemních fórech. Potenciální kyberzločinci si mohou zakoupit balíček modulárních botnetů DiamondFox a získat tak přístup k řadě pokročilých možností útoku. Tento nástroj je pravidelně aktualizován a stejně jako všechny ostatní online služby má personalizovanou zákaznickou podporu. (Dokonce má i deník změn!)
Druhým důvodem je modulární botnet DiamondFox se spoustou pluginů. Tyto funkce se zapínají a vypínají prostřednictvím řídicího panelu, jak se sluší na aplikaci pro chytrou domácnost. Pluginy zahrnují vhodné špionážní nástroje, nástroje pro krádeže pověření, nástroje DDoS, keyloggery , spam a dokonce i skener RAM.
Jak zabránit útoku modulárního malwaru?
V současné době neexistuje žádný konkrétní nástroj, který by mohl uživatele chránit před variantou malwarového modulu. Některé varianty malwarových modulů mají navíc omezený geografický rozsah. Například Marap, AdvisorsBot a CobInt se nacházejí hlavně v Rusku a zemích SNS.
Výzkumníci společnosti Proofpoint prokázali, že navzdory současným geografickým omezením, pokud jiní zločinci uvidí zavedenou zločineckou organizaci využívající modulární malware, jistě budou následovat.
Je důležité vědět, jak se malwarové moduly dostávají do vašeho systému. Většina zaznamenaných případů používala e-mailové přílohy infikované malwarem , často obsahující dokumenty Microsoft Office se škodlivými skripty VBA. Útočníci používají tuto metodu, protože je snadné posílat e-maily infikované malwarem milionům potenciálních cílů. Počáteční exploit je navíc velmi malý a snadno se maskuje jako běžný soubor Office.
Jako vždy dbejte na to, aby byl váš systém aktuální a zvažte investici do kvalitního antivirového softwaru. Stojí to za to!
Vidět víc:
Statická IP adresa je pevná IP adresa nakonfigurovaná v nastavení počítače nebo routeru. Někteří poskytovatelé internetových služeb (ISP) vyžadují zadání statické IP adresy na vašem počítači nebo nastavení TCP/IP routeru, abyste se mohli připojit k internetu.
Podle způsobu infekce patří PublicBoardSearch do kategorie únosců prohlížeče. Jedná se o typ malwaru navržený tak, aby převzal nastavení známého prohlížeče.
Kolekce tapet s vysokým rozlišením pro uživatele počítačů a notebooků s plným rozlišením od Full HD po 4K.
Unixový systém, také známý jako „loopback“, může sám sobě posílat a přijímat síťovou komunikaci přes virtuální síťové zařízení. Počítač může posílat zprávy sám sobě, což umožňuje komunikaci bez aktivní sítě.
Pravděpodobně jste slyšeli rčení, že dostanete to, za co zaplatíte, ale co když dojde na antivirový software? Měli byste si raději koupit softwarové balíčky, než se rozhodnout pro bezplatná řešení ochrany? Možná tomu tak není a zde je důvod!
V dnešním článku Quantrimang shrne oblíbené značky antivirového softwaru na trhu a zjistí, jak se liší mezi Windows PC a macOS.
Není jasné, co Sun Valley přinese kromě změn a vylepšení uživatelského rozhraní nejvyšší úrovně. Zde je tedy to, co uživatelé doufají, že uvidí od velké aktualizace systému Windows 10 Sun Valley, která bude uvedena v příštím roce.
Systém Windows poskytuje možnost Spustit jako správce, která uživatelům umožňuje spouštět aplikace a programy s oprávněními správce. Můžete jej také použít k odstraňování problémů s počítačem. Ale co když tato funkce nefunguje a odebere vám práva správce?
Chyby související s jednotkou vašeho počítače mohou zabránit správnému spuštění systému a omezit přístup k vašim souborům a aplikacím.
Některé varianty malwaru mohou používat různé moduly ke změně toho, jak ovlivňují cílový systém. Co je tedy modulární malware a jak funguje?
