Nul
Den NanoCore fjernadgang Trojan (RAT), der spredes via ondsindede dokumenter og bruger en interessant teknik til at holde sin proces, der kører, og forhindre ofre fra manuelt at dræbe systemet, siger forskere.
Cybersikkerhed hold fra Fortinet har for nylig taget en prøve om spredningen af NanoCore ROTTE i form af en ondsindet Microsoft Word-dokument.
Udviklet i den .Net framework under en forfatter, der er kendt som “Taylor Huddleston,” den Trojanske har landet sin operatør i fængsel for salg malware på underground fora.
Mens Arkansas mand er på grund af tjene tæt til tre år i fængsel, hans arv fortsætter i naturen uden for hans indflydelse.
Det dokument, “eml_-_PO20180921.doc” er spredes via phishing-kampagner og indeholder auto-skadelig eksekverbar, uklar VBA-kode, der indleder den Trojanske hest.
Hvis der blev åbnet, det dokument, der indeholder en sikkerhedsadvarsel øverst informere ville-være offer, at makroer er blevet deaktiveret, men bør at de enkelte klikke på “aktivér indhold,” infektion proces begynder.
Ifølge Fortinet, NanoCore Trojan, i sin seneste 1.2.2.0 version, er hentet fra den wwpdubai.com domæne som en del af en .exe-fil, der er gemt i et Windows midlertidige mappe.
Se også: Politiet kan ikke tvinge dig til at låse din telefon ved at iris, ansigt eller finger
Den fil, CUVJN.exe opkald en dæmon proces. Men før denne proces begynder, den eksekverbare vil ind for at se, om den proces, der allerede eksisterer, og om Avast antivirus software, der kører.
Hvis den inficerede system passerer disse kontroller, koden vil derefter udtrække et arkiv inden for den eksekverbare fil og hente en PE-fil, som er den faktiske NanoCore ROTTE.
To processer vil være køreklar på dette tidspunkt; Netprotocol.exe, som er en kopi af CUVJN.exe og er den dæmon designet til at lyne NanoCore, sammen med dll.exe, som er et meget interessant dæmon proces i sig selv.
Dll.exe er designet til at holde den Trojanske kører. Processen starter netprotocol.exe, tilfører NanoCore i hukommelsen, og kører koden. En af processen’ klasser kaldes “ProtectMe” med en funktion “ProtectMe.Beskytte ()”, som forhindrer, at processen fra at blive dræbt af offeret.
CNET: FCC ‘ s Ajit Pai vil ikke opfylde Kongres om telefonen-tracking-skandale
Under test, Fortinet forskere kunne ikke dræbe netprotocol.exe processen på alle — på trods af, at det ikke er et system, service eller med højere rettigheder end den bruger.
Det viser sig, at den proces, der bruger en funktion, som kaldes ZwSetInformationProcess, fra NTDLL.dll er i stand til at ændre status for processen og forhindre den fra at blive deaktiveret.
“Der er en funktion kaldet “RunPE.doIt ()”, der bruges til at køre og beskytte NanoCore ROTTE-klient. Det kalder API CreateProcessA til at starte en ny “netprotocol.exe” og så suspenderer det,” siger forskerne. “Næste, der allokerer hukommelse i de nye “netprotocol.exe” og sætter hele NanoCore i det nyligt tildelte hukommelse ved hjælp af API WriteProcessMemory. Endelig, det ændrer indgang i den tråd forbindelse til NanoCore indgang og genoptager NanoCore, der kører i den anden “netprotocol.exe” ved at kalde API ResumeThread.”
TechRepublic: Smart bygning sikkerhedshuller forlade skoler, hospitaler i fare
Først opdaget i 2013, NanoCore er en temmelig grim stykke malware, som er i stand til at udføre en række funktioner. Disse omfatter en keylogger, et password stealer som på afstand kan videregive data til malware operatør, evnen til at manipulere med og se optagelser fra webcams, skærm-låsning, skal du download og tyveri af filer, og mere.
Den seneste version af Trojan blev udgivet i 2015 med premium plugins i prisen, før anholdelsen af operatøren i 2016.
Tidligere og relaterede dækning
GoDaddy fjerner JavaScript injektion, som sporer hjemmeside ydeevne, men måske bryde det også
Fortnite bruges af kriminelle til at hvidvaske penge gennem V-Bukke
Cryptopia cryptocurrency udveksling trukket offline på grund af brud på sikkerheden
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0