Modulær malware Det nye smarte angrepet stjeler dataene dine
Malware kommer i alle former og størrelser. Videre har sofistikering av skadelig programvare vokst betydelig gjennom årene. Attackers innser at det ikke alltid er den mest effektive måten å prøve å passe alle aspekter av sin ondsinnede pakke inn i en enkelt nyttelast.
Over tid har malware blitt modulær. Det vil si at enkelte malwarevarianter kan bruke forskjellige moduler for å endre hvordan de påvirker et målsystem. Så, hva er modulær malware og hvordan fungerer det?
Hva er modulær malware?
Modulær malware er en avansert trussel som angriper et system i forskjellige stadier. I stedet for å sprengte seg gjennom inngangsdøren, tar modulær malware en subtilere tilnærming.
Det gjør det ved først å installere de grunnleggende komponentene først. Da, i stedet for å forårsake en fanfare og varsle brukerne til sin tilstedeværelse, utforsker den første modulen systemet og nettverkssikkerheten; hvem er ansvarlig, hvilke beskyttelser som kjører, hvor malware kan finne sårbarheter, hvilke utnytninger har den beste sjansen til suksess, og så videre.
Etter vellykket scoping ut lokalt miljø kan den første etappens malware-modul ringe hjem til sin kommando- og kontroll (C2) -server. C2 kan deretter sende ytterligere instruksjoner sammen med flere malware-moduler for å utnytte det bestemte miljøet malware opererer i.
Modulær malware har flere fordeler i forhold til skadelig programvare som pakker all funksjonalitet til en enkelt nyttelast.
- Forfatteren av skadelig programvare kan raskt endre malware signaturen for å unngå antivirus og andre sikkerhetsprogrammer.
- Modulær malware gir omfattende funksjonalitet for en rekke miljøer. Dermed kan forfattere reagere på bestemte mål, eller alternativt øremerke spesifikke moduler for bruk i bestemte miljøer.
- De innledende modulene er små og noe lettere å obfuscate.
- Kombinere flere malware-moduler gjentar sikkerhetsforskere om hva som kommer neste gang.
Modulær malware er ikke en plutselig ny trussel. Malware-utviklere har lenge brukt en effektiv bruk av modulære malwareprogrammer. Forskjellen er at sikkerhetsforskere støter på mer modulær malware i et bredere spekter av situasjoner. Forskere har også sett den enorme Necurs botnet (beryktet for å distribuere Dridex og Locky ransomware-varianter) som distribuerer modulære malware nyttelaster. Hva er en botnet, uansett? Hva er en Botnet og er datamaskinen din del av en? Hva er en Botnet og er datamaskinen din del av en? Botnets er en viktig kilde til skadelig programvare, ransomware, spam og mer. Men hva er det? en botnet? Hvordan kommer de til virkelighet? Hvem styrer dem? Og hvordan kan vi stoppe dem? Les mer)
Modulære malwareeksempler
Det er noen veldig interessante modulære malware eksempler. Her er noen for deg å vurdere.
VPNFilter
VPNFilter er en nylig skadelig programvarevariant som angriper rutere og Internett av ting (IoT) -enheter. Malware fungerer i tre faser.
Første trinns malware kontakter en kommando- og kontrollserver for å laste ned scenen to modulen. Den andre trinnsmodulen samler data, utfører kommandoer, og kan forstyrre enhetsadministrasjon (inkludert evnen til “murstein” en router, IoT eller NAS-enhet). Den andre fasen kan også laste ned tredje trinns moduler, som fungerer som plugins for andre trinn. Trinn 3 modulene inkluderer en pakkesniffer for SCADA-trafikk, en pakkeinnsprøytningsmodul og en modul som gjør at malware 2 på scenen kan kommunisere ved hjelp av Tor-nettverket.
Du kan lære mer om VPNFilter, hvor den kom fra, og hvordan du kan se den her.
T9000
Palo Alto Networks sikkerhetsforskere avdekket T9000 malware (ingen forbindelse til Terminator eller Skynet ... eller er det ?!).
T9000 er et intelligens- og datainnsamlingsverktøy. Når en gang er installert, lar T9000 en angriper “ta opp krypterte data, ta skjermbilder av bestemte applikasjoner og spesifikt målrette mot Skype-brukere,” samt Microsoft Office-produktfiler. T9000 leveres med forskjellige moduler som er utformet for å unngå opptil 24 forskjellige sikkerhetsprodukter, og endrer installasjonsprosessen for å forbli under radaren.
DanaBot
DanaBot er en multi-trinns bank-trojansk med forskjellige plugins som forfatteren bruker for å utvide sin funksjonalitet. (Hvordan du raskt og effektivt håndterer fjerntilgangs-trojanere. Slik overholder du enkelt og effektivt med fjerntilgangs-trojanere. Slik overholder du enkelt og effektivt med fjernadgang Trojans Lukt en RAT? Hvis du tror at du har blitt smittet med en ekstern tilgang trojan, Du kan enkelt bli kvitt den ved å følge disse enkle trinnene. Les mer) For eksempel, i mai 2018 ble DanaBot oppdaget i en serie angrep mot australske banker. På det tidspunkt avslørte forskere et pakkesniffing og injeksjonsplugg, et VNC eksternt visningsplugg, et dataoppsamlingsplugin og en Tor-plugin som muliggjør sikker kommunikasjon.
“DanaBot er en bank trojan, noe som betyr at den nødvendigvis er geo-målrettet til en grad,” leser Proofpoint DanaBot blogginnlegget. “Vedtak fra høyvolumaktører, likevel, som vi så i den amerikanske kampanjen, foreslår aktiv utvikling, geografisk ekspansjon og pågående trusselaktørinteresse i malware. Malware-enheten inneholder i seg selv en rekke antianalysegenskaper, samt oppdaterte staler- og fjernstyringsmoduler, som ytterligere øker sin attraktivitet og nytte for trusselskuespillere.”
Marap, AdvisorsBot og CobInt
Jeg kombinerer tre modulære malwarevarianter i en seksjon som de fantastiske sikkerhetsforskerne på Proofpoint oppdaget alle tre. Modulære malwarevarianter har likheter, men har forskjellige bruksområder. Videre er CobInt en del av en kampanje for Cobalt Group, en kriminell organisasjon med bånd til en lang liste over bank og finansiell nettkriminalitet.
Marap og AdvisorsBot ble begge oppdaget av målsystemer for forsvar og nettverkskartlegging, og om malware burde laste ned full nyttelast. Hvis målsystemet er av tilstrekkelig interesse (for eksempel har verdi), kalles malware for den andre fasen av angrepet.
Som andre modulære malwarevarianter følger Marap, AdvisorsBot og CobInt en tre-trinns flyt. Den første fasen er vanligvis en e-post med et infisert vedlegg som bærer den første utnyttelsen. Hvis utførelsen kjøres, krever malware øyeblikkelig den andre fasen. Den andre etappen bærer rekognosasjonsmodulen som vurderer sikringsmålene og nettverkslandskapet til målsystemet. Hvis malware vurderer at alt er egnet, laster den tredje og siste modulen ned, inkludert hovedbelastningen.
Proofpoint anaylsis av:
- Marap
- AdvisorBot (og PoshAdvisor)
- cobin
Mayhem
Mayhem er en litt eldre modulær malwarevariant, som først kommer til lys tilbake i 2014. Mayhem er imidlertid et godt modulært malware eksempel. Malware, avdekket av sikkerhetsforskere ved Yandex, retter seg mot Linux og Unix webservere. Den installeres via et skadelig PHP-skript.
Når installasjonen er installert, kan skriptet ringe til flere plugins som definerer malwareens ultimate bruk.
Plugins inkluderer en brute force password cracker som retter seg mot FTP, WordPress og Joomla-kontoer, en webkrypter for å søke etter andre utsatte servere, og et verktøy som utnytter Heartbleed OpenSLL sårbarhet.
DiamondFox
Vår siste modulære malwarevariant er også en av de mest komplette. Det er også en av de mest bekymringsfulle, av et par grunner.
Årsak en: DiamondFox er et modulært botnet for salg på ulike undergrunnsfora. Potensielle cyberkriminelle kan kjøpe DiamondFox modulære botnetpakke for å få tilgang til et bredt spekter av avanserte angrepskapasiteter. Verktøyet oppdateres jevnlig og, som alle gode online-tjenester, har personlig kundesupport. (Det har til og med en endringslogg!)
Årsak to: DiamondFox modulære botnet kommer med en rekke plugins. Disse er slått på og av via et dashbord som ikke ville være ute av sted som en smart hjemmeapp. Plugins inkluderer skreddersydde spionasjeverktøy, legitimasjonsverktøy, DDoS-verktøy, keyloggers, spam mailers, og til og med en RAM-skraper.
Advarsel: Følgende video har musikk du kanskje eller ikke kan nyte.
Hvordan stoppe en modulær malware angrep
På nåværende tidspunkt beskytter ikke noe bestemt verktøy mot en bestemt modulær malwarevariant. Noen modulære malwarevarianter har også begrenset geografisk rekkevidde. For eksempel er Marap, AdvisorsBot og CobInt primært funnet i Russland og CIS nasjoner.
Når det er sagt, har Proofpoint-forskerne påpekt at til tross for nåværende geografiske begrensninger, hvis andre kriminelle ser en slik etablert kriminell organisasjon ved hjelp av modulær malware, vil andre sikkert følge med.
Bevissthet om hvordan modulær malware kommer på systemet ditt er viktig. De fleste bruker infiserte e-postvedlegg, som vanligvis inneholder et Microsoft Office-dokument med et ondsinnet VBA-skript. Angrep bruker denne metoden fordi det er enkelt å sende infiserte e-post til millioner av potensielle mål. Videre er den opprinnelige bruken liten og lett forkledd som en Office-fil.
Som alltid, sørg for at du holder systemet oppdatert, og vurder å investere i Malwarebytes Premium-det er verdt det. 5 Grunner til å oppgradere til Malwarebytes Premium: Ja, det er verdt det. 5 Grunner til å oppgradere til Malwarebytes Premium: Ja, det er verdt det mens Den gratis versjonen av Malwarebytes er fantastisk, premium-versjonen har en rekke nyttige og verdifulle funksjoner. Les mer !
Utforsk mer om: Jargon, Malware, Modular Malware, Trojan Horse.