voor Zero Day
| 26 November 2019 — 17:00 GMT (17:00 GMT)
| Onderwerp: Security
Afbeelding: Microsoft
Microsoft security engineers gedetailleerde vandaag een nieuwe malware spanning die is infecteert Windows-computers sinds oktober 2018 te kapen hun middelen om mijn cryptocurrency en inkomsten te genereren voor de aanvallers.
De naam Dexphot, deze malware bereikt zijn hoogtepunt in het midden van juni dit jaar, toen de botnet bijna 80,000 geïnfecteerde computers.
Sindsdien is het aantal dagelijkse infecties is langzaam naar beneden, als Microsoft beweert dat het ingezet tegenmaatregelen te verbeteren detecties en de aanvallen te stoppen.
Een complexe malware spanning voor een alledaagse taak
Maar terwijl Doxphot het einddoel was banaal, de methoden en technieken voor de modus operandi stond vanwege hun hoge niveau van complexiteit, iets dat Microsoft ook gemerkt.
“Dexphot is niet het type aanval dat genereert mainstream media-aandacht,” zei Hazel Kim, een malware analist voor de Microsoft Defender ATP Onderzoek Team, verwijzend naar de malware-alledaagse taak van de mijnbouw cryptocurrency, eerder dan het stelen van gegevens van de gebruiker.
“Het is een van de talloze malware campagnes die actief zijn op een gegeven moment. Haar doel is een zeer gemeenschappelijk in een cybercrimineel kringen – voor het installeren van een munt mijnwerker die in stilte steelt computer middelen en inkomsten genereert voor de aanvallers,” zei Kim:.
“Nog Dexphot illustreert de complexiteit en de snelheid van de evolutie van zelfs de dagelijkse bedreigingen, met de bedoeling zich te onttrekken aan bescherming en gemotiveerd om te vliegen onder de radar voor het vooruitzicht van winst.”
In een rapport gedeeld met ZDNet dat de geplande live gaan later vandaag, Kim details Dexphot geavanceerde technieken, zoals het gebruik van fileless uitvoering, polymorfe technieken, en smart en redundante boot persistentie mechanismen.
Infectie proces
Volgens Microsoft Dexphot is wat security onderzoekers noemen een tweede fase van de payload-een vorm van malware die vallen op systemen die al geïnfecteerd door andere malware.
In dit geval, Dexphot werd gedropt op computers die eerder waren geïnfecteerd met ICLoader, een malware soort die meestal kant-geïnstalleerd als onderdeel van de software bundels, zonder medeweten van de gebruiker, of wanneer gebruikers gedownload en geïnstalleerd gekraakte of illegale software.
Op sommige van deze ICLoader-geïnfecteerde systemen, de ICLoader bende zou downloaden en uitvoeren van de Dexphot installer.
Microsoft zegt dat dit installer zou het slechts een deel van de Dexphot malware die zou worden naar de schijf geschreven, maar slechts voor een korte periode van tijd. Elke andere Dexphot bestand of de operatie zou het gebruik van een techniek die bekend staat als fileless uitvoering te draaien in het geheugen van de computer, zodat het de aanwezigheid malware op een systeem onzichtbaar voor de klassieke op handtekeningen gebaseerde antivirus-oplossingen.
Bovendien Dexphot zou ook gebruik gemaakt van een techniek genaamd “leven van het land” (of LOLbins) te (ab)gebruik van legitieme Windows-processen uit te voeren kwaadaardige code, eerder dan zijn eigen programma ‘ s en processen.
Bijvoorbeeld, Microsoft zegt Dexphot zou regelmatig misbruik msiexec.exe, unzip.exe, rundll32.exe, schtasks.exe en powershell.exe alle legitieme apps die vooraf geïnstalleerd op Windows-systemen. Met behulp van deze processen het moet starten en uitvoeren van kwaadaardige code, Dexphot effectief werd niet te onderscheiden van andere lokale apps die waren ook gebruik van deze hulpprogramma ‘ s om hun werk te doen.
Afbeelding: Microsoft
Maar Dexphot exploitanten niet stoppen hier. Omdat in de afgelopen jaren antivirus producten zijn met behulp van cloud-gebaseerde systemen te inventariseren en centraliseren patronen van schadelijke fileless uitvoering en LOLbins misbruik, Dexphot ook gebruikt een techniek genaamd polymorfisme.
Deze techniek verwijst naar malware die voortdurend verandert haar artefacten. Volgens Microsoft Dexphot operators veranderde de bestandsnamen en Url ‘ s gebruikt in het infectie proces eenmaal per 20-30 minuten.
Door de tijd die een leverancier zou het detecteren van een patroon in Dexphot infectie keten, die de patroon zou veranderen, en laat de Dexphot bende stap voor te blijven van cyber-security producten.
Multi-gelaagde persistentie mechanismen
Maar geen malware blijft onopgemerkt voor altijd, en zelfs in deze gevallen, de Dexphot bende had vooruit gepland.
Microsoft zegt dat Dexphot kwam met slimme persistentie mechanismen die vaak opnieuw infecteren van systemen die niet gereinigd van alle malware van de artefacten.
Voor de eerste, de malware gebruikt een techniek genaamd proces holde om te beginnen twee processen (svchost.exe en nslookup.exe), holle hun inhoud, en een kwaadaardige code uitvoeren van binnen hen.
Vermomd als legitieme Windows-processen, deze twee Dexphot onderdelen in de gaten te houden dat alle malware componenten zijn up and running, en opnieuw installeren van de malware als een van hen werden aangehouden. Want er waren twee “toezicht” van processen, zelfs als systeembeheerders of antivirus software verwijderd één, de tweede zou dienen als back-up en opnieuw infecteren het systeem op een later tijdstip op.
Ten tweede, ook werken als een failsafe, Dexphot ook gebruikt in een reeks van geplande taken om ervoor te zorgen dat het slachtoffer is fileslessly opnieuw besmet raken na elke herstart van de computer, of één keer om de 90 of 110 minuten.
Omdat de taken werden uitgevoerd op regelmatige tijdstippen, ze diende ook als een manier voor de Dexphot bende te leveren updates voor alle geïnfecteerde systemen.
Volgens Microsoft, elke keer als een van deze taken liep, het downloaden van een bestand van een aanvaller de server, waardoor de aanvaller om dit bestand te wijzigen met bijgewerkte instructies voor alle Dexphot geïnfecteerde hosts en werken hun hele botnet binnen enkele uren na een leverancier geïmplementeerd eventuele tegenmaatregelen.
Verder, Microsoft zegt dat polymorfisme werd ook gebruikt voor deze taken, met de Dexphot bende veranderende taak namen op regelmatige tijdstippen. Deze eenvoudige truc toegestaan de malware rok een bloklijsten die geblokkeerd geplande taken door hun namen.
Als Microsoft ‘ s Kim gezegd, al deze technieken zijn erg ingewikkeld. Men normaal zou verwachten van deze soorten ontslagen te worden gevonden in de infectie ketens voor malware ontwikkeld door advanced regering-back-hacking-eenheden.
Echter, in de afgelopen twee jaar, deze technieken zijn langzaam naar beneden druppelen voor cyber-criminele bendes, en zijn nu vrij veel vaker in iets alledaags als een crypto-munt mijnbouw zoals Dexphot, infostealers zoals Astharoth, of klik-fraude operaties als Nodersok.
Veiligheid
Chrome Rand, Safari gehackt elite Chinese hack wedstrijd
Duizenden gehackte Disney+ accounts zijn al te koop op het hacken van forums
Cybersecurity is op weg naar een recruitment crisis: Hier is hoe we het probleem oplossen
De vaststelling van het lekken van gegevens in Jira (ZDNet YouTube)
Beste home security 2019: Professionele monitoring en DIY (CNET)
Hoe om te bepalen locatie bijhouden op je iPhone in iOS 13 (TechRepublic)
Verwante Onderwerpen:
Microsoft
Beveiliging TV
Data Management
CXO
Datacenters
voor Zero Day
| 26 November 2019 — 17:00 GMT (17:00 GMT)
| Onderwerp: Security