BendyBear

En ny meget sofistikeret malware-trussel er blevet opdaget af forskerne ved Palo Alto Networks. Truslen blev navngivet BendyBear, da der er stærke forbindelser mellem den og WaterBear, som er en modulopbygget malware, der bruges i en angrebskampagne, der har været i gang siden mindst 2009. Selvom WaterBear er blevet kategoriseret som et implantat med en bred vifte af truende funktionaliteter. såsom filmanipulation og exfiltrering, shelladgang, screenshot grabber og mere er det ikke engang tæt på BendyBear's muligheder.

 Infosec-forskerne, der analyserede BendyBear, beskriver det som den mest sofistikerede kinesiske malware, der hidtil er oprettet. De tilskriver også frigivelsen af malware-truslen til cyberspionagegruppen BlackTech, der har gennemført angrebskampagner mod teknologiske enheder og regeringsorganer i Østasien.

 Når den implementeres på målets computer, fungerer BendyBear som et stadium-nul-implantat, der har til opgave at levere en mere robust, næste-trins nyttelast. Som sådan er angribernes mål at holde truslen så skjult som muligt. Det kan måske virke kontraintuitivt, at BendyBear med over 10.000 byte maskinkode er større end andre trusler af samme type betydeligt. Den større størrelse har dog gjort det muligt for hackerne at pakke deres malware-værktøj med en overflod af komplekse opdagelsesundgåelses- og anti-analyseteknikker.

 Sofistikerede stealth- og detektionsunddragelsesfunktioner

 Truslen har en meget formbar struktur. Den udfører kontrol for tegn på anti-debugging-værktøjer og forsøger at undgå statisk detektion gennem positionsuafhængig kode. Hver kommunikationssession med Command-and-Control (C2, C&C) infrastrukturen i kampagnen ledsages af genereringen af en unik sessionsnøgle. For at skjule den unormale trafik, det skaber, forsøger BendyBear at blande sig med den normale SSL-netværkstrafik ved hjælp af en fælles port (443).

 Til kryptering anvender BendyBear en modificeret RC4-chiffer. Andre unikke aspekter af truslen er den polymorfe kode, der gør det muligt for den at ændre sit runtime-fodaftryk under kodeudførelse og evnen til at udføre signaturblokbekræftelse. For at gemme sine konfigurationsdata udnytter BendyBear en allerede eksisterende registreringsdatabasenøgle, der er aktiveret som standard i Windows 10-systemer. For yderligere at minimere de spor, den efterlader, indlæser truslen de næste trin nyttelast i hukommelsen på det kompromitterede system direkte uden at tabe dem på disken.

 BendyBear er undtagelsesvis vanskeligt at opdage, og organisationer skal være opmærksomme på at fange angrebet i sine tidlige faser.