JsOutProx
Kyberturvallisuuden asiantuntijat ovat löytäneet uuden vioittuneen skriptin, jota levitetään luonnossa naamioituna asiakirjaksi. Usein nämä väärennetyt asiakirjat käyttävät yleensä kelvollista tiedostotunnistetta, kuten '.RTF' tai '.DOCX', mutta kyseinen implantti saapuu '.JS-tiedostoksi. Tämä tiedosto sisältää JavaScriptin koodin, joka koostuu yli 10 000 rivistä, ja kaikki näyttävät olevan merkityksettömiä - tämä johtuu siitä, että niiden kirjoittajat ovat käyttäneet monikerroksista hämärtämistä, mikä tekee erittäin vaikeaksi ja aikaa vieväksi suunnitella hämärtäminen ja paljastaa vaarallisen implantin todellisen sisällön.
Vaarannetun JavaScript-koodin analyysi paljasti siitä mielenkiintoisia yksityiskohtia, kuten sen, että se on ohjelmoitu kommunikoimaan Norjassa, Oslossa sijaitsevan ohjauspalvelimen kanssa. Lisäksi implantaatin (nimeltään JsOutProx) kirjoittajat ovat kiinnittäneet erityistä huomiota anti-analyysi- ja koodien hämärtämistekniikoiden toteuttamiseen, jotka vaikeuttavat vioittuneen skriptin käyttäytymisen purkamista ja analysointia.
Kompromitoitu JavaScript-implantti tukee laajaa joukkoa komentoja ja laajennuksia
Siitä huolimatta heidän pyrkimyksensä eivät riittäneet estämään haittaohjelmatutkijoita, ja verkkoturvallisuuden asiantuntijat ovat kyenneet tarkkailemaan JsOutProxin kykyjä täysimääräisesti. Alustamisensa jälkeen JsOutProx pudottaa tiedostot% APPDATA% ja% TEMP% -kansioihin ja luo sitten uuden rekisteriavaimen, joka käskee järjestelmää käynnistämään nämä tiedostot aina käynnistyessään. Käynnistyksen jälkeen JsOutProxia voidaan käyttää ohjauspalvelimelta lähetettyjen etäkomentojen avulla. Nykyisessä muodossaan implantti pystyy suorittamaan seuraavat tehtävät:
- Käynnistä tai päivitä itse.
- Lopeta itse ja poista sen tiedostot.
- Ohjaa tartunnan saaneita koneita käynnistääksesi tai sammuttaaksesi sen uudelleen.
- Suorita JavaScript-koodi.
- Suorita Visual Basic -koodi.
- Nuku tietyn ajan.
- Lataa dynaamisen .NET-linkkikirjasto.
Näiden peruskomentojen tukemisen lisäksi JsOutProxin toimintoja voidaan parantaa asentamalla räätälöityjä laajennuksia:
- Prosessien lisäosa - antaa operaattorille mahdollisuuden tappaa prosesseja tai suorittaa uusia.
- DNS-laajennus - Voi muuttaa tartunnan saaneen koneen DNS-määrityksiä.
- Token-laajennus - Sitä käytetään keräämään 'Symantec VIP One Time Password', jota yritykset usein käyttävät monitekijäiseen todennukseen.
- Outlook-laajennus - kerää tilitiedot, yhteystiedot ja sähköpostit.
- Kysy laajennus - Näyttää mukautetun viestin vaarantuneessa laitteessa.
JsOutProx näyttää olevan kokeneiden haittaohjelmien kehittäjien tuote, ja on mahdollista, että Advanced Persistent Threat (APT) -ryhmä saattaa olla kehitystyönsä takana. Tähän operaatioon ei kuitenkaan ole vielä liitetty merkittävää nimeä. Viruksentorjuntamoottorien uusimpien versioiden pitäisi voida havaita ja poistaa JsOutProx-implantti helposti.