Beep Malware

Kyberturvallisuustutkijat ovat löytäneet uhkaavan ohjelmiston, jota seurataan nimellä "Beep". Tämä haittaohjelma on suunniteltu monenlaisilla ominaisuuksilla, jotka tekevät siitä erittäin kestävän tietoturvaohjelmistojen havaitsemista ja analysointia vastaan. Huolimatta siitä, että Beep-haittaohjelma on kehitysvaiheessa ja siitä puuttuu tiettyjä olennaisia komponentteja, se pystyy sallimaan uhkatekijöiden etälatauksen ja suorittamaan lisähyötykuormia laitteissa, jotka se on onnistuneesti vaarantanut. Uhkauksen yksityiskohdat julkaistiin infosec-asiantuntijoiden julkaisemassa raportissa.

Tämä tekee Beepistä erittäin huolestuttavan uhan organisaatioille ja yksilöille, koska se voi mahdollisesti antaa hyökkääjille luvattoman pääsyn arkaluontoisiin tietoihin ja hallita laitteita, joita asia koskee. Yksityishenkilöiden ja organisaatioiden tulee pitää tietoturvaohjelmistonsa ajan tasalla ja olla valppaina mahdollisten epäilyttävän toiminnan merkkien varalta laitteissaan estääkseen tällaiset haittaohjelmahyökkäykset.

Beep-haittaohjelma voi aiheuttaa merkittävän vaaran kohdennetuille uhreille

Piippaus on suunniteltu keräämään arkaluontoisia tietoja vaarantuneesta laitteesta. Se koostuu kolmesta pääkomponentista: tiputtimesta, injektorista ja hyötykuormasta.

Tiputin, joka tunnetaan myös nimellä "big.dll", luo uuden rekisteriavaimen tietyllä arvolla nimeltä AphroniaHaimavati. Tämä arvo sisältää PowerShell-komentosarjan, joka on koodattu base64-muotoon. PowerShell-komentosarja käynnistyy laitteessa ajoitetulla tehtävällä 13 minuutin välein.

Kun komentosarja suoritetaan, se lataa tiedot ja tallentaa ne injektoriin nimeltä AphroniaHaimavati.dll. Injektori on vastuussa erilaisten virheenkorjauksen ja vm:n (virtualisoinnin) vastaisten tekniikoiden käyttämisestä hyötykuorman lisäämiseksi lailliseen järjestelmäprosessiin nimeltä "WWAHost.exe". Tämä tehdään prosessin hollowing-nimisen prosessin kautta, joka auttaa välttämään havaitsemisen isännässä käynnissä olevista suojaustyökaluista.

Ensisijainen hyötykuorma vastaa tietojen keräämisestä vaarantuneelta laitteelta ja sen salaamisesta. Sitten se yrittää lähettää salatut tiedot komento- ja ohjauspalvelimelle (C2), joka oli kovakoodattu. Analyysin aikana kovakoodattu C2-osoite oli offline-tilassa, mutta haittaohjelma jatkoi yhteyden yrittämistä jopa 120 epäonnistuneen yrityksen jälkeen.

Beep-haittaohjelma on keskittynyt vahvasti havaitsematta jäämiseen

Beep-haittaohjelma tunnetaan useista evaasiotekniikoistaan, jotka on toteutettu sen suorituskulussa, mikä vaikeuttaa tietoturvaohjelmistojen ja infosec-tutkijoiden havaitsemista ja analysointia. Näitä tekniikoita ovat muun muassa merkkijonojen deobfuskaatio, järjestelmän kielen tarkistus, virheenkorjauksen tunnistus, virtuaalikoneen ja hiekkalaatikon torjuntatoimenpiteet. Haittaohjelman injektorikomponentti toteuttaa myös useita muita virheenkorjauksen ja havaitsemisen väistötekniikoita. Beepin keskittyminen kiertoon viittaa siihen, että se voi olla tuleva uhka, jota on varottava, vaikka sen toimintaa luonnossa on tällä hetkellä rajoitettu.