Exaramel

„Exaramel" įsilaužimo įrankis yra grėsmė, apie kurią neseniai buvo pastebėta vienoje „TeleBots" įsilaužimo grupės kampanijų. Tyrinėdami grėsmę kenkėjiškų programų tyrėjai pastebėjo, kad kenkėjiška programa „Exaramel" yra gana panaši į kitą įsilaužimo įrankį „TeleBots" grupės, pavadintos „Industroyer", arsenale. „TeleBots" įsilaužimų grupė pastaraisiais metais buvo labai aktyvi ir sukūrė daug antraščių su savo grėsmingomis kampanijomis. Garsiausia jos operacija įvyko 2015 m. Ir įtraukė juos, todėl buvo užmegztas elektrinis užtemimas, kurio niekada anksčiau nebuvo pasiekta naudojant kenkėjiškas programas. „ TeleBots" grupė taip pat slypi už liūdnai pagarsėjusios „ Petya Ransomware" , kuri kurį laiką pliaupė internete. Grėsmė užblokuos tikslinės sistemos standžiojo disko MBR („Master Boot Record").

Pristatomas kaip antrinis krovinys

„Exaramel" kenkėjiška programa yra „Trojan" užpakalinis durys, ji yra diegiama kaip antros pakopos kenkėjiška programa. Dar vienas iš „TeleBots" grupės įsilaužimo įrankių padeda „Exaramel" grėsmę pristatyti šeimininkui, nukrypdamas nuo kompiuterio saugumo priemonių. Pirmojo etapo naudingoji apkrova, padedanti „Exaramel" kenkėjiškajai programai pakenkti sistemai, taip pat įsitikina, kad yra programinės įrangos ar įrankių, kurie gali būti susieti su kenkėjiškų programų derinimu. Jei testo rezultatai bus teigiami, ataka bus sustabdyta. Dėl to bus mažiau tikėtina, kad kenkėjiškų programų tyrėjai pateks rankas į „Exaramel" užpakalinį duris ir jį išpjaustys. Tačiau jei ataka tęsis, „Exaramel" užpakalinių durų failai bus suleisti į „Windows" aplanką. Tada grėsmė užtikrins, kad paleidžiant sistemą bus paleista nauja paslauga, vadinama „wsmprovav". Ši paslauga apibūdinama kaip „Windows patikrinta AV", kuria siekiama, kad ji atrodytų kaip teisėta paslauga, o ne kenkėjiškos operacijos dalis.

Pajėgumai

„Windows Registry Key" saugomos visos „Exaramel" kenkėjiškų programų konfigūracijos, o tai nėra labai įprasta technika. „Trojan" prieangis yra informuotas apie įkeltų failų saugojimo kelią, informaciją apie tarpinį serverį, duomenis apie C&C („Command & Control") serverį, ir tai suteikia galimybę grėsmei atlikti pagrindinį žiniatinklio patikrinimą. „Exaramel" Trojos arklys gali:

  • VBS scenarijų vykdymas.
  • Failų rašymas į vietinę sistemą.
  • Vykdome programinę įrangą.
  • Įkeliami failai į anksčiau minėtą saugojimo kelią.
  • Vykdo apvalkalo komandas.

„TeleBots" įsilaužimų grupė dažnai naudotųsi „Exaramel" užpakalinių durų trojanu kartu su „CredRaptor" ir „ Mimikatz" įsilaužimo įrankiais. „Exaramel" kenkėjiškų programų autoriai taip pat sukūrė grėsmės versiją, parašytą „Go" programavimo kalba, leidžiančią įsilaužimo įrankiu nukreipti „Linux" serverius ir sistemas.

Tendencijos

Labiausiai žiūrima

Įkeliama...