JsOutProx
Οι ειδικοί στον κυβερνοχώρο έχουν εντοπίσει ένα νέο κατεστραμμένο σενάριο που εξαπλώνεται σε άγρια φύση και είναι μεταμφιεσμένο ως έγγραφο. Συχνά, αυτά τα ψεύτικα έγγραφα τείνουν να χρησιμοποιούν μια έγκυρη επέκταση αρχείου, όπως '.RTF' ή '.DOCX', αλλά το εμφύτευμα που πρόκειται να φτάσει ως αρχείο .JS. Αυτό το αρχείο περιέχει ένα κομμάτι κώδικα JavaScript που αποτελείται από πάνω από 10.000 γραμμές και όλα αυτά φαίνεται να μην έχουν νόημα - αυτό συμβαίνει επειδή οι συγγραφείς τους χρησιμοποίησαν πολυσχιδή συστολή, γεγονός που καθιστά πολύ δύσκολη και χρονοβόρα την αντίστροφη μηχανική και να αποκαλύψει το πραγματικό περιεχόμενο του μη ασφαλούς εμφυτεύματος.
Η ανάλυση του συμβιβασμού του κώδικα JavaScript αποκάλυψε κάποιες ενδιαφέρουσες λεπτομέρειες γι 'αυτό, όπως το γεγονός ότι προγραμματίζεται να επικοινωνεί με ένα διακομιστή ελέγχου που βρίσκεται στο Όσλο της Νορβηγίας. Επιπλέον, οι συγγραφείς του εμφυτεύματος (που ονομάζονται JsOutProx) έδωσαν ιδιαίτερη προσοχή στην εφαρμογή τεχνικών ανάλυσης και παρατήρησης κώδικα που καθιστούν πολύ δύσκολη την αποκρυπτογράφηση και την ανάλυση της συμπεριφοράς του κατεστραμμένου σεναρίου.
Ένα συμβιβασμένο εμφύτευμα JavaScript υποστηρίζει μια μεγάλη γκάμα εντολών και προσθηκών
Ωστόσο, οι προσπάθειές τους δεν ήταν αρκετές για να σταματήσουν τους κακόβουλους ερευνητές και οι εμπειρογνώμονες στον τομέα της ασφάλειας στον κυβερνοχώρο μπόρεσαν να παρακολουθήσουν το πλήρες εύρος των ικανοτήτων του JsOutProx. Μόλις γίνει η προετοιμασία, το JsOutProx θα αποβάλει τα αρχεία του στους φακέλους% APPDATA% και% TEMP% και, στη συνέχεια, θα δημιουργήσει ένα νέο κλειδί μητρώου το οποίο καλεί το σύστημα να ξεκινήσει αυτά τα αρχεία κάθε φορά που εκκινεί. Αφού ξεκινήσει, το JsOutProx μπορεί να λειτουργήσει μέσω απομακρυσμένων εντολών που αποστέλλονται από το διακομιστή ελέγχου. Στην παρούσα μορφή του, το εμφύτευμα είναι σε θέση να ολοκληρώσει τα ακόλουθα καθήκοντα:
- Επανεκκινήστε ή ενημερώστε την ίδια.
- Τερματίστε τον εαυτό σας και διαγράψτε τα αρχεία του.
- Ελέγξτε το μολυσμένο μηχάνημα για επανεκκίνηση ή απενεργοποίηση.
- Εκτελέστε κώδικα JavaScript.
- Εκτελέστε έναν κώδικα της Visual Basic.
- Συνδυασμός για συγκεκριμένο χρόνο.
- Φορτώστε μια βιβλιοθήκη δυναμικής ζεύξης '. NET'.
Εκτός από την υποστήριξη αυτών των βασικών εντολών, η λειτουργικότητα του JsOutProx μπορεί να βελτιωθεί με την εγκατάσταση προσαρμοσμένων εφαρμογών:
- Διαδικασία Plugin - Επιτρέπει στον χειριστή να σκοτώνει διαδικασίες ή να εκτελεί νέες.
- DNS Plugin - Μπορεί να τροποποιήσει τη διαμόρφωση DNS του μολυσμένου μηχανήματος.
- Plugin Token - Χρησιμοποιείται για τη συλλογή του "κωδικού πρόσβασης Symantec VIP One Time" που συχνά χρησιμοποιείται για τον έλεγχο ταυτότητας από πολλούς παράγοντες από τις επιχειρήσεις.
- Outlook Plugin - Συλλέγει τα στοιχεία του λογαριασμού, τις επαφές και τα μηνύματα ηλεκτρονικού ταχυδρομείου.
- Προσχέδιο προτροπής - Εμφανίζει ένα προσαρμοσμένο μήνυμα στη συμβιβασμένη συσκευή.
Το JsOutProx φαίνεται να είναι το προϊόν των έμπειρων προγραμματιστών κακόβουλου λογισμικού και είναι πιθανό ότι μια ομάδα Advanced Persistent Threat (APT) μπορεί να βρίσκεται πίσω από την ανάπτυξή του. Ωστόσο, κανένα αξιόλογο όνομα δεν έχει συνδεθεί ακόμα με αυτήν την ενέργεια. Οι τελευταίες εκδόσεις των μηχανών προστασίας από ιούς θα πρέπει να είναι σε θέση να ανιχνεύουν και να αφαιρούν το εμφύτευμα JsOutProx με ευκολία.
