Nul
En ny orm har været opdaget, som spreder en moderne variant af remote access tool (RAT) Bladabindi.
Ifølge forskere fra Trend Micro, ormen spreder Bladabindi-også kendt som njRAT/Njw0rm — i en fileless form af formerings gennem flytbare drev og opbevaring.
I et blog-indlæg på tirsdag, den cybersecurity holdet sagde Bladabindi har været recompliled, opdateres, og pustede liv til år, hvilket har ført til dens tilstedeværelse i utallige cyberespionage kampagner.
Den orm, som spreder sig nu en moderne variant af Bladabindi er registreret som Orm.Win32.BLADABINDI.AA.
Bladabindi gemmer en kopi af sig selv på alle flytbare drev tilsluttet til et inficeret system, og vil også oprette en post i registreringsdatabasen, kaldet AdobeMX at opretholde vedholdenhed. Dette indlæg vil udføre en PowerShell script til at indlæse malware via reflekterende læsning.
Denne belastning teknik er, hvad der gør den malware fileless. Ved at indlæse fra en eksekverbar gemt i hukommelsen, snarere end et system disk, kan dette gør afsløring af traditionelle antivirus-software vanskeligere at opnå.
Den Bladabindi-filen i sig selv er samlet i .NET og bruger kode beskyttelse software til yderligere at sløre den ondsindede kode.
Se også: L0rdix bliver det nye Schweiziske Hær kniv af Windows hacking
Også at bemærke er den malware ‘s brug af AutoIt, et freeware scripting sprog til Windows-operativsystemet, som var oprindeligt beregnet til PC’ en “roll-out” – scenarier for at konfigurere tusindvis af systemer på én gang.
I dette tilfælde, AutoIt er misbrugt som en malware compiler, med de vigtigste script lagt ind i en enkelt eksekverbar.
“[Det] kan gøre nyttelast — bagdør — vanskeligt at opdage,” siger forskerne.
Det vides ikke, hvordan den nye varianter af Bladabindi spredt sig til kernen, inficerede systemer, men ældre versioner af malware, har tidligere blevet påvist i phishing-kampagner. Disse varianter — der blev fil-baseret — også tilladt brugere at vælge ikoner designet til at vildlede ofre til at udføre den skadelige kode og ville gemme sig i midlertidige Windows-mapper.
TechRepublic: Top sikkerhed tips afsløret af industri eksperter
Den Bladabindi ROTTE fungerer som et data-tyveri system og bagdør og er i stand til at keylogging, tyveri af legitimationsoplysninger under browser sessioner, fanger webcam-optagelser, og både download og udførelse af filer.
Når bagdør element er udført, en firewall-politik er oprettet som tilføjer PowerShell proces til en liste over acceptable programmer.
Stjålne oplysninger er sendt angriberen command-and-control server (C2) serverwater-boom[.]duckdns[.]org port 1177. Men den malware bruger en dynamic domain name system, så dette kan blive ændret eller opdateret til enhver tid.
CNET: Lovgivere introducere lovforslag om at stoppe bots ødelægger ferie shopping
I 2016, Fortinet afdækket 166 Bladabindi prøver relateret til hopto.org og myftp.biz, to domæner, der anvendes til at opretholde en forbindelse til C2-servere.
Indførelsen af en fileless version af kendte malware er et problem. Ifølge Ponemon Institute, zero-day-sårbarheder og fileless angreb er nu den mest farlige trusler mod virksomhedens selskaber.
“Brugere, og især virksomheder, som stadig bruge flytbare medier på arbejdspladsen bør praksis, sikkerhed, hygiejne,” Trend Micro, der er indgået. “Begrænse og sikker brug af et flytbart medie eller en USB-funktionalitet, eller værktøjer som PowerShell (navnlig på systemer med følsomme data), og proaktivt at overvåge gateway, effektparametre, netværk og servere til unormal adfærd og indikatorer, som C&C kommunikation og tyveri af information.”
Tidligere og relaterede dækning
BRITISKE rege ikke griber dokumenter Facebook ønskede at holde private i Cambridge Analytica kamp SIM-swapping 21-årige scorer $1 millioner ved at hacke en telefon, Hvordan Dropbox ‘ s red team har opdaget en Apple zero-day exploit kæde af uheld
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0