Malware er blitt vanskeligere å oppdage. Hva er modulær malware, og hvordan du stopper det med å ødelegge din PC?

Modular Malware: Det nye stealthy angrepet som stjeler dataene dine

Annonse Malware kommer i alle former og størrelser. Videre har sofistikasjonen av malware vokst betydelig med årene. Angriperne er klar over at det ikke alltid er den mest effektive å prøve å passe alle aspekter av deres ondsinnede pakke til en nytt nyttelast. Over tid har malware blitt modulært. Det

Annonse

Malware kommer i alle former og størrelser. Videre har sofistikasjonen av malware vokst betydelig med årene. Angriperne er klar over at det ikke alltid er den mest effektive å prøve å passe alle aspekter av deres ondsinnede pakke til en nytt nyttelast.

Over tid har malware blitt modulært. Det vil si at noen skadelige varianter kan bruke forskjellige moduler for å endre hvordan de påvirker et målsystem. Så, hva er modulær malware og hvordan fungerer det?

Hva er modular malware?

Modulær malware er en avansert trussel som angriper et system i forskjellige stadier. I stedet for å sprenge gjennom inngangsdøren, tar modulær malware en subtilere tilnærming.

Det gjør du ved å bare installere de viktige komponentene først. I stedet for å forårsake en fanfare og varsle brukerne om sin tilstedeværelse, speider den første modulen ut systemet og nettverkssikkerheten; hvem som har ansvaret, hvilke beskyttelser som kjøres, hvor skadelig programvare kan finne sårbarheter, hvilke utnyttelser som har den beste sjansen for suksess, og så videre.

Etter å ha scopet ut nærmiljøet, kan den første fasen for skadelig modul ringe hjem til kommandoen og kontrollen (C2) -serveren. C2 kan deretter sende ytterligere instruksjoner sammen med flere skadelige moduler for å dra nytte av det spesifikke miljøet skadelig programvare opererer i.

Modulær malware har flere fordeler sammenlignet med skadelig programvare som pakker all funksjonaliteten til en nytt nyttelast.

  • Malware-forfatteren kan raskt endre malware-signatur for å unngå antivirus- og andre sikkerhetsprogrammer.
  • Modulær malware tillater omfattende funksjonalitet i en rekke miljøer. I det kan forfattere reagere på spesifikke mål, eller alternativt øremerke spesifikke moduler til bruk i bestemte miljøer.
  • De første modulene er bittesmå og noe lettere å tilsløre.
  • Ved å kombinere flere malware-moduler blir sikkerhetsforskere gjettet på hva som kommer videre.

Modulær malware er ikke en plutselig ny trussel. Malware-utviklere har brukt effektiv modulære malware-programmer i lang tid. Forskjellen er at sikkerhetsforskere møter mer modulær skadelig programvare i et bredere spekter av situasjoner. Forskere har også oppdaget det enorme Necurs botnet (beryktet for å distribuere variantene Dridex og Locky ransomware) som distribuerer modulære nyttelaster til skadelig programvare. (Hva er et botnet, allikevel? Hva er et botnet og er datamaskinen din del av en? Hva er et botnet og er datamaskinen din del av en? Botnett er en viktig kilde til malware, ransomware, spam og mer. Men hva er et botnett? Hvordan oppstår de? Hvem kontrollerer dem? Og hvordan kan vi stoppe dem? Les mer)

Modulære malware-eksempler

Det er noen veldig interessante modulære malware-eksempler. Her er noen du kan vurdere.

VPNFilter

VPNFilter er en nylig skadelig variant som angriper rutere og Internet of Things (IoT) enheter. Den skadelige programvaren fungerer i tre stadier.

Malware i første trinn kontakter en kommando- og kontrollserver for å laste ned trinn to-modulen. Modulen i andre trinn samler inn data, utfører kommandoer og kan forstyrre enhetsstyring (inkludert muligheten til å "murre" en ruter, IoT eller NAS-enhet). Det andre trinnet kan også laste ned tredjetrinnsmoduler, som fungerer som plugins for andre trinn. Trinn tre moduler inkluderer en pakkesniffer for SCADA-trafikk, en pakkeinjeksjonsmodul og en modul som gjør at trinn 2-malware kan kommunisere ved hjelp av Tor-nettverket.

Du kan lære mer om VPNFilter, hvor den kom fra, og hvordan du finner den her.

Modular Malware: The New Stealthy Attack Steling Your Data vpnfilter malware-serverinfrastruktur

T9000

Palo Alto Networks sikkerhetsforskere avdekket T9000 skadelig programvare (ikke noe forhold til Terminator eller Skynet ... eller er det ?!).

T9000 er et verktøy for intelligens og datainnsamling. Når T9000 er installert, lar en angriper "fange kryptert data, ta skjermbilder av spesifikke applikasjoner og spesifikt målrette Skype-brukere", samt Microsoft Office-produktfiler. T9000 kommer med forskjellige moduler designet for å unndra seg opptil 24 forskjellige sikkerhetsprodukter, og endre installasjonsprosessen slik at den forblir under radaren.

DanaBot

DanaBot er en flertrinns bank-trojan med forskjellige plugins som forfatteren bruker for å utvide funksjonaliteten. (Hvordan raskt og effektivt håndtere trojanere med ekstern tilgang. Hvordan enkelt og effektivt takle trojanere med ekstern tilgang Hvordan enkelt og effektivt håndtere trojanere med ekstern tilgang lukter en RAT? Hvis du tror du har blitt smittet med en trojan med ekstern tilgang, Du kan enkelt bli kvitt det ved å følge disse enkle trinnene. Les mer) For eksempel ble DanaBot i mai 2018 oppdaget i en serie angrep mot australske banker. På det tidspunktet avdekket forskere en pakkesniffing- og injeksjonsplugin, et VNC-eksternt plugin-plugin, et datahøstingsplugin og et Tor-plugin som gir mulighet for sikker kommunikasjon.

"DanaBot er en bank-trojaner, noe som betyr at den nødvendigvis er geografisk målrettet i en grad", lyder blogginnlegget fra Proofpoint DanaBot. "Adopsjon fra aktører i høyt volum antyder, men som vi så i den amerikanske kampanjen, aktiv utvikling, geografisk ekspansjon og pågående trusselaktørinteresse for skadelig programvare. Den skadelige programvaren i seg selv inneholder en rekke anti-analysefunksjoner, så vel som oppdaterte stealer- og fjernkontrollmoduler, noe som ytterligere øker attraktiviteten og anvendeligheten for trusselaktører. "

Marap, AdvisorsBot og CobInt

Jeg kombinerer tre modulære malwarevarianter i en seksjon da de fantastiske sikkerhetsforskerne på Proofpoint oppdaget alle tre. De modulære malware-variantene har likheter, men har forskjellig bruk. Videre utgjør CobInt en del av en kampanje for Cobalt Group, en kriminell organisasjon med tilknytning til en lang liste over bank og økonomisk nettkriminalitet.

Marap og AdvisorsBot var begge oppdaget målsystemer for forsvar og nettverkskartlegging, og om skadelig programvare skulle laste ned full nyttelast. Hvis målsystemet er av tilstrekkelig interesse (for eksempel har verdi), krever skadelig programvare den andre fasen av angrepet.

Som andre modulære skadelige varianter, følger Marap, AdvisorsBot og CobInt en tretrinnsstrøm. Det første trinnet er vanligvis en e-post med et infisert vedlegg som har den første utnyttelsen. Hvis utnyttelsen kjøres, ber skadelig programvare umiddelbart om andre trinn. Det andre trinnet fører rekognoseringsmodulen som vurderer sikkerhetstiltakene og nettverkslandskapet til målsystemet. Hvis skadelig programvare vurderer at alt er egnet, lastes den tredje og siste modulen ned, inkludert den viktigste nyttelasten.

Proofpoint anaylsis av:

  • Marap
  • AdvisorBot (og PoshAdvisor)
  • cobin

Mayhem

Mayhem er en litt eldre modulær malware-variant, som først kommer fram i 2014. Mayhem er fortsatt et flott eksempel på modulbasert malware. Den skadelige programvaren, avdekket av sikkerhetsforskere ved Yandex, er rettet mot Linux- og Unix webservere. Det installeres via et ondsinnet PHP-skript.

Når det er installert, kan skriptet påkalle flere plugins som definerer skadelig programvare til slutt bruk.

Pluginsene inkluderer en brute force passord cracker som er målrettet mot FTP-, WordPress- og Joomla-kontoer, en webcrawler for å søke etter andre sårbare servere, og et verktøy som utnytter Heartbleed OpenSLL-sårbarheten.

DiamondFox

Den endelige modulære malware-varianten er også en av de mest komplette. Det er også noe av det mest bekymringsfulle, av et par grunner.

Årsak én: DiamondFox er et modulært botnet som selges på forskjellige underjordiske fora. Potensielle nettkriminelle kan kjøpe DiamondFox-modulære botnet-pakken for å få tilgang til et bredt spekter av avanserte angrepsmuligheter. Verktøyet oppdateres jevnlig og har, som alle gode online tjenester, personlig kundestøtte. (Den har til og med en endringslogg!)

Årsak to: DiamondFox modulære botnet leveres med en rekke plugins. Disse slås av og på gjennom et dashbord som ikke ville være malplassert som en smart hjemme-app. Plugins inkluderer skreddersydde spionasjeverktøy, legitimasjonsstjelverktøy, DDoS-verktøy, keyloggers, spam-mailer og til og med en RAM-skrape.

Advarsel: følgende video har musikk du kanskje ikke liker.

Slik stopper du et modulært skadelig programangrep

For øyeblikket beskytter ikke noe spesifikt verktøy mot en spesifikk modulær malware-variant. Noen modulære skadevarevarianter har også begrenset geografisk omfang. For eksempel finnes Marap, AdvisorsBot og CobInt først og fremst i Russland og OSS-nasjoner.

Når det er sagt, påpekte Proofpoint-forskerne at til tross for gjeldende geografiske begrensninger, hvis andre kriminelle ser en så etablert kriminell organisasjon som bruker modulær malware, vil andre absolutt følge etter.

Bevissthet om hvordan modulær malware kommer på systemet ditt er viktig. De fleste bruker infiserte e-postvedlegg, vanligvis inneholder et Microsoft Office-dokument med et ondsinnet VBA-skript. Angripere bruker denne metoden fordi det er enkelt å sende infiserte e-poster til millioner av potensielle mål. Videre er den første utnyttelsen liten og forkledd som en Office-fil.

Sørg for at du holder systemet ditt oppdatert, og vurder å investere i Malwarebytes Premium - det er verdt det 5 grunner til å oppgradere til Malwarebytes Premium: Ja, det er verdt det 5 grunner til å oppgradere til Malwarebytes Premium: Ja, det er verdt det mens gratisversjonen av Malwarebytes er kjempebra, premiumversjonen har en haug med nyttige og verdige funksjoner. Les mer !

Utforsk mer om: Jargon, Malware, Modular Malware, Trojan Horse.