Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Kenkėjiška programa DeepLoad kenkėjiška programa

DeepLoad kenkėjiška programa

Autorius Mezo, Kenkėjiška programa, Išplėstinė nuolatinė grėsmė (APT)
Versti į:

Naujai nustatyta atakos kampanija naudoja „ClickFix“ socialinės inžinerijos techniką užkrėtimui inicijuoti. Aukos manipuliuojamos vykdyti kenkėjiškas „PowerShell“ komandas, įklijuojant jas į „Windows“ vykdymo dialogo langą, prisidengiant tuo, kad sprendžiama išgalvota sistemos problema. Šiame pradiniame žingsnyje pasitelkiama teisėta „Windows“ programa „mshta.exe“, kad būtų galima nuskaityti ir vykdyti užmaskuotą „PowerShell“ pagrindu veikiančią įkrovos programą.

Sukurtas obfuskavimas, siekiant išvengti

„PowerShell“ įkroviklis slepia savo tikrąją paskirtį pertekliniu ir beprasmiu kintamųjų priskyrimu, o tai labai apsunkina statinę analizę. Įrodymai rodo, kad šiam klaidinimo sluoksniui sukurti greičiausiai buvo naudojami dirbtinio intelekto įrankiai, taip padidinant jo sudėtingumą. Toks metodas leidžia kenkėjiškai programai apeiti tradicinius aptikimo mechanizmus, išlaikant veikimo vientisumą.

Slaptas per sistemos kamufliažą

„DeepLoad“ specialiai sukurta taip, kad sklandžiai įsilietų į standartines „Windows“ operacijas. Naudingoji apkrova paslėpta vykdomajame faile „LockAppHost.exe“ – teisėtame procese, atsakingame už „Windows“ užrakinimo ekrano valdymą. Siekdama dar labiau paslėpti jos buvimą, kenkėjiška programa išjungia „PowerShell“ komandų istoriją ir tiesiogiai iškviečia pagrindines „Windows“ funkcijas, o ne standartines „PowerShell“ komandas. Ši technika leidžia jai apeiti stebėjimo sistemas, kurios seka „PowerShell“ veiklą.

Failų neturintys metodai ir dinaminis naudingosios apkrovos generavimas

Siekdama sumažinti aptikimą, „DeepLoad“ vengia palikti nuoseklius artefaktus diske. Ji dinamiškai generuoja antrinį komponentą naudodama „PowerShell“ funkciją „Add-Type“, kompiliuodama C# kodą į laikiną DLL failą, saugomą vartotojo „Temp“ kataloge. Kiekvienas vykdymas sukuria unikaliai pavadintą failą, efektyviai apeidama failais pagrįstus aptikimo metodus, kurie remiasi žinomais parašais.

Pažangi injekcija slaptam vykdymui

Pagrindinė vengimo strategija apima asinchroninio procedūrų iškvietimo (APC) injekciją. Kenkėjiška programa paleidžia teisėtą „Windows“ procesą sustabdytoje būsenoje, įterpia apvalkalinį kodą tiesiai į savo atmintį ir atnaujina vykdymą. Šis metodas užtikrina, kad kenkėjiška informacija veiktų patikimame procese, neįrašant dekoduotos versijos į diską, taip žymiai sumažinant jos teismo ekspertizės pėdsaką.

Nuolatiniai kredencialų vagystės mechanizmai

„DeepLoad“ sukurta taip, kad išgautų jautrius naudotojų duomenis iš karto po vykdymo. Jos galimybės apima:

  • Išsaugotų naršyklės slaptažodžių rinkimas tiesiai iš užkrėstos sistemos
  • Kenkėjiško naršyklės plėtinio, kuris realiuoju laiku fiksuoja prisijungimo duomenis ir išlieka per visus seansus, nebent būtų rankiniu būdu pašalinamas, diegimas.

Šoninis plitimas per išimamą laikmeną

Kenkėjiška programa naudoja platinimo metodus, skirtus išnaudoti išimamus atminties įrenginius. Aptikusi USB diskus ar panašias laikmenas, ji nukopijuoja kenkėjiškus sparčiuosius failus, užmaskuotus kaip teisėti diegimo failai. Šie failai pavadinti taip, kad atrodytų patikimi, taip padidinant vartotojo sąveikos ir tolesnio užkrėtimo tikimybę.

Tyli pakartotinė infekcija per WMI piktnaudžiavimą

„DeepLoad“ užtikrina pastovumą naudodamas „Windows Management Instrumentation“ (WMI). Jis sukuria įvykių prenumeratas, kurios po trijų dienų suaktyvina pakartotinį užkrėtimą, nereikalaujant jokio vartotojo įsikišimo ar užpuoliko įsikišimo. Ši technika taip pat sutrikdo tradicinius aptikimo modelius, nutraukdama numatytus tėvų ir vaikų procesų ryšius.

Strateginis tikslas: visapusiška žudymo grandinės aprėptis

Bendras „DeepLoad“ dizainas rodo daugiafunkcį kenkėjiškų programų karkasą, galintį vykdyti veiksmus visoje kibernetinių atakų grandinėje. Jo veiklos strategija orientuota į:

  • Diske esančių artefaktų vengimas siekiant sumažinti aptikimo galimybes
  • Kenkėjiškos veiklos įterpimas į teisėtus „Windows“ procesus
  • Sparčiai plinta įvairiose sistemose, siekiant išplėsti savo veiklos sritį

Keičiamo mastelio grėsmių sistemos rodikliai

Su „DeepLoad“ susijusi infrastruktūra ir modulinė konstrukcija rodo bendro arba paslaugomis pagrįsto diegimo modelio galimybę. Nors charakteristikos atitinka kenkėjiškų programų kaip paslaugos (MaaS) pasiūlymus, šiuo metu nėra pakankamai įrodymų, kad būtų galima galutinai patvirtinti šią klasifikaciją.

Tendencijos

HTTP klaida 401 Neteisingas saugos prieigos raktas...

Sukčiavimas, Šlamštas
Netikėti el. laiškai, reikalaujantys nedelsiant imtis veiksmų, yra dažna kibernetinių nusikaltėlių taktika, siekiant manipuliuoti nieko neįtariančiais gavėjais. Žinutėse, kuriose teigiama apie skubias technines problemas ar paskyros problemas, dažnai bandoma sukelti paniką, kad vartotojai reaguotų nepatikrinę informacijos. Dėl šios priežasties labai svarbu išlikti budriems, kai gaunami...

Labiausiai žiūrima

Įkeliama...