JsOutProx

Kyberturvallisuuden asiantuntijat ovat löytäneet uuden vioittuneen skriptin, jota levitetään luonnossa naamioituna asiakirjaksi. Usein nämä väärennetyt asiakirjat käyttävät yleensä kelvollista tiedostotunnistetta, kuten '.RTF' tai '.DOCX', mutta kyseinen implantti saapuu '.JS-tiedostoksi. Tämä tiedosto sisältää JavaScriptin koodin, joka koostuu yli 10 000 rivistä, ja kaikki näyttävät olevan merkityksettömiä - tämä johtuu siitä, että niiden kirjoittajat ovat käyttäneet monikerroksista hämärtämistä, mikä tekee erittäin vaikeaksi ja aikaa vieväksi suunnitella hämärtäminen ja paljastaa vaarallisen implantin todellisen sisällön.

Vaarannetun JavaScript-koodin analyysi paljasti siitä mielenkiintoisia yksityiskohtia, kuten sen, että se on ohjelmoitu kommunikoimaan Norjassa, Oslossa sijaitsevan ohjauspalvelimen kanssa. Lisäksi implantaatin (nimeltään JsOutProx) kirjoittajat ovat kiinnittäneet erityistä huomiota anti-analyysi- ja koodien hämärtämistekniikoiden toteuttamiseen, jotka vaikeuttavat vioittuneen skriptin käyttäytymisen purkamista ja analysointia.

Kompromitoitu JavaScript-implantti tukee laajaa joukkoa komentoja ja laajennuksia

Siitä huolimatta heidän pyrkimyksensä eivät riittäneet estämään haittaohjelmatutkijoita, ja verkkoturvallisuuden asiantuntijat ovat kyenneet tarkkailemaan JsOutProxin kykyjä täysimääräisesti. Alustamisensa jälkeen JsOutProx pudottaa tiedostot% APPDATA% ja% TEMP% -kansioihin ja luo sitten uuden rekisteriavaimen, joka käskee järjestelmää käynnistämään nämä tiedostot aina käynnistyessään. Käynnistyksen jälkeen JsOutProxia voidaan käyttää ohjauspalvelimelta lähetettyjen etäkomentojen avulla. Nykyisessä muodossaan implantti pystyy suorittamaan seuraavat tehtävät:

• Käynnistä tai päivitä itse.
• Lopeta itse ja poista sen tiedostot.
• Ohjaa tartunnan saaneita koneita käynnistääksesi tai sammuttaaksesi sen uudelleen.
• Suorita JavaScript-koodi.
• Suorita Visual Basic -koodi.
• Nuku tietyn ajan.
• Lataa dynaamisen .NET-linkkikirjasto.

Näiden peruskomentojen tukemisen lisäksi JsOutProxin toimintoja voidaan parantaa asentamalla räätälöityjä laajennuksia:

• Prosessien lisäosa - antaa operaattorille mahdollisuuden tappaa prosesseja tai suorittaa uusia.
• DNS-laajennus - Voi muuttaa tartunnan saaneen koneen DNS-määrityksiä.
• Token-laajennus - Sitä käytetään keräämään 'Symantec VIP One Time Password', jota yritykset usein käyttävät monitekijäiseen todennukseen.
• Outlook-laajennus - kerää tilitiedot, yhteystiedot ja sähköpostit.
• Kysy laajennus - Näyttää mukautetun viestin vaarantuneessa laitteessa.

JsOutProx näyttää olevan kokeneiden haittaohjelmien kehittäjien tuote, ja on mahdollista, että Advanced Persistent Threat (APT) -ryhmä saattaa olla kehitystyönsä takana. Tähän operaatioon ei kuitenkaan ole vielä liitetty merkittävää nimeä. Viruksentorjuntamoottorien uusimpien versioiden pitäisi voida havaita ja poistaa JsOutProx-implantti helposti.