Data-diefstal van malware rendement opgewaardeerd met cryptominer en trojan
Grote delen van de Scranos operatie werden genomen in April, maar het is al terug en de criminelen achter het lijkt meer vastberaden dan ooit, het toevoegen van een trojan en een cryptojacker hun adware regeling.
Meer dan tien jaar na het voor het eerst werd beschreven in een hacker e-zine (online magazine), malware stammen zijn nog steeds succesvol met de “Heaven’ s Gate” – techniek om te voorkomen dat antivirus detectie, zelfs vandaag de dag.
De meest recente Heaven ‘s Gate waarneming is uitgewerkt in een rapport dat gisteren is gepubliceerd door Cisco’ s cyber-security division Talos.
Talos onderzoekers zeiden ze hebt gespot ten minste drie distributie van malware campagnes waarin de malware geïnfecteerde systemen van gebruikers gebruikt de Heaven ‘ s Gate techniek om een kwaadaardige code uitvoeren zonder dat een antivirus detectie.
De drie campagnes werden de distributie van de HawkEye Herboren keylogger, de Remcos remote access trojan (RAT), en diverse cryptocurrency mijnbouw trojaanse paarden.
Het stuk in de gemeenschappelijke in alle drie de campagnes was een malware-lader — een malware spanning die eerste infecteert systemen, alleen voor het downloaden van een meer geavanceerde en gevaarlijke malware stam op een later moment. Talos zei deze nieuwe malware-lader misbruik maakt van de Heaven ‘s Gate techniek te omzeilen verschillende antivirusprogramma’ s gecontroleerd en download en installeer de drie krachtige malware stammen.
Wat is de Heaven ‘ s Gate techniek?
De techniek die gebruikt wordt door deze malware loader is niet nieuw. Het werd voor het eerst gedetailleerd in het midden van de jaren 2000 op de website die wordt beheerd door de 29A virus codering groep. De Heaven ‘ s Gate tutorial werd geschreven door een anonieme hacker gaat online als Roy G. Biv, een lid van de groep 29A. Nadat de groep ontbonden en hun e-zine van de site ging naar beneden, de Heaven ‘ s Gate techniek werd later overgenomen in de editie 2009 van de Valhalla hacker e-zine.
De techniek is een slimme misleiding op Windows 64-bits systemen. Biv ontdekt dat 32-bits toepassingen die worden uitgevoerd op 64-bits systemen kunnen misleiden van het besturingssysteem in het uitvoeren van 64-bits code, ondanks aanvankelijk verklaren zichzelf als 32-bits processen.
De truc — zoals uitgelegd in schrijf-ups van bekende security-onderzoekers als Alex Ionescu en Marcus Hutchins [1, 2], maar ook anderen, — is gebaseerd op springen buiten het WOW64-omgeving (een subsysteem op 64-bits Besturingssystemen voor 32-bits code) en het uitvoeren van code op de native 64-bits systeem.
Op het moment, zowel antivirus software en OS security functies waren niet in staat om het opsporen van een 32-bits proces springt van de 32-bits compatibel code 64-bits code.
Hoewel in eerste instantie, de techniek is enigszins gevorderden, die langzaam zijn weg naar een groot aantal van de commodity-malware spanningen door de jaren heen. Door het begin van de 2010s, het was voornamelijk wordt misbruikt door een veelheid van rootkits, maar later verspreid naar de Phenom trojaans paard, de Pony infostealer, en de Vawtrack (NeverQuest), Scylex, Nymaim, Ursnif (Gozi), en TrickBot banking trojans.
De techniek van het gebruik en de populariteit in de moderne malware is enigszins afgenomen, vooral na Microsoft uitgerold een beveiligingsfunctie van de naam Control Flow Wacht in het Windows-10, die effectief geblokkeerd, de code van het springen van het WOW64-32-bit uitvoering van de native 64-bits code-uitvoering ruimte.
Niettemin, sommige malware-auteurs zijn nog steeds het gebruik van de techniek, vooral te richten legacy-systemen. Voordat Talos’ verslag van deze week, de techniek had waargenomen vorig jaar, in 2018, door Malwarebytes misbruikt door cryptocurrency mijnwerkers, en door Sophos dit jaar in de code van de zeer gevaarlijke Emotet trojan.
Eventuele malware met behulp van de Heaven ‘ s Gate techniek is effectief te gaan nadat de oudere systemen, die toont eens te meer waarom het gebruik van een modern BESTURINGSSYSTEEM is altijd een goed idee.
Gerelateerde malware en cybercriminaliteit dekking:
Nieuwe Mac-malware misbruik onlangs bekendgemaakt Gatekeeper nul-dayNew Dridex malware stam voorkomt antivirus software detectionNew Silex malware is bricken IoT apparaten, is eng plansFlorida stadsbranden DEZE werknemer na het betalen van losgeld eisen laatste weekFacebook misbruikt te verspreiden Remote Access Trojans sinds 2014Bitfinex hackers gearresteerd na drie jaar Meer dan 3B valse e-mails verzonden per dag, zoals phishing-aanvallen aanhouden TechRepublicSpel der Tronen heeft de meeste malware van illegale TV-show CNET
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters