Tento nový vírus ti môže tajne nahrávať obrazovku Windows počítača. Odhaliť ho je takmer nemožné
Malware s pokročilým utajením zneužíva poškodené súbory a šifrovanú komunikáciu, aby prešiel bez povšimnutia. Vo Windows počítačoch môže zostať neodhalený celé týždne.
Výskumníci odhalili šikovne zamaskovaný malware, ktorý dokázal niekoľko týždňov nenápadne operovať v infikovanom systéme. A to všetko vďaka poškodeniu základných častí spustiteľného súboru, ktoré bežne slúžia na jeho analýzu. Upozornil na to portál thehackernews.com.
Základné časti spustiteľného súboru boli úmyselne poškodené
Ak si niekedy spúšťal .exe súbory vo Windowse, tak vedz, že každý z nich obsahuje takzvané DOS a PE hlavičky. Tie určujú, ako sa má program načítať, ktoré knižnice potrebuje, a kde presne má systém začať s vykonávaním jeho kódu. Práve tieto časti však útočník úmyselne poškodil, aby znemožnil spätnú analýzu škodlivého kódu.
Tento Remote Access Trojan (RAT) bežal vo vnútri systému ako súčasť legitímne vyzerajúceho procesu dllhost.exe. Bezpečnostná firma Fortinet síce pôvodný súbor nezískala, no vďaka pamäťovému výpisu infikovaného systému sa im podarilo škodlivý kód spätne rozobrať a otestovať v kontrolovanom prostredí.
Výskumníci z Fortinetu museli poškodený súbor rekonštruovať manuálne a doplniť chýbajúce knižnice, aby mohli malware analyzovať.
Treba ešte povedať, že tento nový škodlivý softvér nemá pridelený oficiálny názov. Ide o novozistený a technicky sofistikovaný Remote Access Trojan (RAT), ktorý bol identifikovaný prostredníctvom pamäťového výpisu infikovaného systému.
Malware sa spúšťa cez PowerShell skripty
Útočníci nasadili sadu skriptov a PowerShell príkazov, cez ktoré spustili škodlivý kód priamo z pamäte, čo znamená, že v systéme neexistoval žiadny trvalý .exe súbor. Takýto prístup robí detekciu o to ťažšou.
Neprehliadni
Po spustení malware okamžite dešifruje adresu svojho riadiaceho servera (takzvaného C2, teda Command & Control) a vytvára nové vlákno, pomocou ktorého s týmto serverom komunikuje cez zabezpečený TLS protokol.
Komplexné schopnosti a prepracovaná architektúra
Ide o plnohodnotný vzdialený prístupový trojan (RAT), ktorý útočníkovi umožňuje kompletnú kontrolu nad infikovaným zariadením. Medzi jeho schopnosti patrí zachytávanie snímok obrazovky, ovládanie systémových služieb či prevádzka v režime servera, pričom aktívne čaká na pripojenie útočníka. Zaujímavosťou je, že ide o multivláknový malware, ak sa k infikovanému systému pripojí viacero útočníkov, každému vytvorí samostatné komunikačné vlákno. Vďaka tomu môžu viacerí útočníci súčasne na diaľku ovládať počítač, kradnúť citlivé dáta alebo do systému nainštalovať ďalší škodlivý softvér
Možno sa teraz pýtaš, ako sa môže tento vírus dostať do zariadenia. Tento typ malwaru sa do počítača môže dostať cez phishingové e-maily, podozrivé prílohy, alebo falošné aktualizácie. Útočníci využívajú zraniteľnosti v systéme Windows, pričom malware sa často spúšťa cez PowerShell skripty priamo z pamäte bez toho, aby po sebe zanechal viditeľné stopy. Pri nepozornosti stačí kliknúť na škodlivý odkaz alebo otvoriť prílohu, čím sa umožní útočníkovi infikovať zariadenie.
Komunikácia a vlastné šifrovanie
Po nadviazaní spojenia malware najprv používa klasický WebSocket handshake, následne ale prechádza na vlastný šifrovací algoritmus. Každý prenášaný balík údajov je najskôr zašifrovaný pomocou náhodného kľúča, až potom prejde cez TLS kanál. Výskumníkom sa podarilo z tejto komunikácie dešifrovať napríklad informácie o systéme, ktoré malware odosiela útočníkovi.
Dôkladné skrývanie a obchádzanie analýz
Aby sa malware dal spustiť aj mimo pôvodného systému, výskumníci museli manuálne doplniť chýbajúce knižnice, opraviť smerovanie na API funkcie a správne nastaviť pamäť. Išlo o detailnú, časovo náročnú rekonštrukciu, no napokon sa podarilo celý kód zrekonštruovať a analyzovať.
Tento prípad je dôkazom, že útočníci neustále hľadajú nové triky, ako oklamať antivírusy a obísť bezpečnostné riešenia. A niekedy na to stačí „len“ pár premyslených úprav v hlavičke súboru.
Ak sa chceš chrániť, dbaj na pravidelné aktualizácie, nepodceňuj upozornenia systému a nespúšťaj neznáme skripty či podozrivé prílohy. Pretože aj keď na prvý pohľad nič podozrivé nevidíš, niečo sa v pamäti systému môže skrývať celé týždne.
Komentáre