„StreamSpy“ Trojos arklys
Apsaugoti asmeninius ir darbo vietos įrenginius nuo šiuolaikinės kenkėjiškos programinės įrangos yra svarbiau nei bet kada anksčiau, nes šiandieninės grėsmės yra skirtos ne tik pavogti informaciją, bet ir tyliai išplėsti užpuoliko prieigą giliai į pažeistą sistemą. Vienas iš naujausių pavyzdžių yra „StreamSpy“ – daugiapakopis Trojos arklys, susijęs su „Patchwork“ (APT-Q-36) grupe. Dėl modulinės konstrukcijos, slaptų komunikacijos metodų ir plataus funkcijų rinkinio jis kelia rimtą saugumo problemą.
Turinys
Slaptos užpakalinės durys su pažangiais ryšio kanalais
„StreamSpy“ išsiskiria tuo, kad bendraudama su savo komandų serveriu naudoja ir „WebSocket“, ir HTTP. „WebSocket“ kanalai perduoda instrukcijas ir beveik realiuoju laiku siunčia rezultatus užpuolikui, o HTTP tvarko didesnius duomenų perdavimus, pvz., įkeltus arba atsisiųstus failus. Tai panašu į „Spyder“ atsisiuntimo įrankio elgesį, o tai rodo bendrus kūrimo metodus arba esamų įrankių evoliuciją.
Prieš atlikdamas bet kokius kenkėjiškus veiksmus, Trojos arklys atrakina įterptųjų konfigūracijos reikšmių rinkinį. Šie nustatymai valdo jo komunikacijos elgseną, pateikia tapatybės parametrus ir apibrėžia išlikimo metodus, kuriuos jis naudos, kad išgyventų sistemos perkrovimą.
Sistemos profiliavimas ir aukų identifikavimas
Kai „StreamSpy“ tampa aktyvus, jis atlieka gilų užkrėstos sistemos nuskaitymą. Jis renka kompiuterio metaduomenis, tokius kaip įrenginio pavadinimas, dabartinis vartotojas, operacinės sistemos versija, įdiegtos antivirusinės programos, aparatinės įrangos identifikatoriai ir kita aplinkos informacija. Remdamasis šia informacija, jis sukuria unikalų aukos ID ir siunčia jį užpuoliko serveriui, leisdamas operatoriams sekti atskiras infekcijas savo kampanijoje.
Siekdamas užtikrinti automatinį paleidimą, Trojos arklys diegia atkūrimo mechanizmus, naudodamas suplanuotas užduotis, registro vykdymo raktus arba paleidimo nuorodas.
Platus nuotolinių komandų pasirinkimas
„StreamSpy“ palaiko platų komandų rinkinį, leidžiantį užpuolikams sąveikauti su užkrėsta aplinka lanksčiais ir labai invaziniais būdais. Tarp žalingiausių jos funkcijų yra šios:
- Vykdymo ir diegimo galimybės
- Vykdant savavališkas komandas naudojant cmd.exe arba PowerShell, suteikiant visišką sistemos funkcijų valdymą
- Papildomų naudingųjų apkrovų, įskaitant užšifruotus ZIP archyvus, kuriuos jis iššifruoja ir diegia vietoje, atsisiuntimas ir paleidimas
- Failų operacijos ir įrenginių išvardijimas
- Failų įkėlimas arba išfiltravimas į pažeistą kompiuterį arba iš jo
- Failų pervadinimas arba ištrynimas, siekiant paslėpti veiklą arba paruošti tolesnius etapus
- Visų prijungtų saugojimo įrenginių, įskaitant talpą, failų sistemą ir išimamų diskų atributus, tikrinimas
Šios savybės daro „StreamSpy“ veiksmingu įrankiu šnipinėjimui, šoniniam judėjimui, duomenų vagystei ir ilgalaikei prieigai.
Pristatymas per apgaulingą ZIP archyvą
Tyrėjai patvirtino, kad „StreamSpy“ platinamas per kenkėjiškus ZIP archyvus. Vienas žinomas atvejis buvo susijęs su failu pavadinimu „OPS-VII-SIR.zip“, esančiu išoriniame serveryje. Archyve buvo:
- „StreamSpy“ vykdomasis failas, užmaskuotas PDF stiliaus piktograma
- Pridėti teisėti PDF formato masalo dokumentai, kad archyvas atrodytų nekenksmingas
Ši technika remiasi socialine inžinerija. Vartotojas atidaro archyvą, pamato dokumentus, kurie atrodo teisėti, ir to nežinodamas paleidžia užmaskuotą kenkėjišką programą. Pradinis vilioklio failas gali būti pristatomas įvairiais kanalais, įskaitant apgaulingas svetaines, netikrus el. laiškus, kenkėjiškas reklamas, tiesiogines žinutes ar socialinių tinklų įrašus.
Rimta grėsmė, kurią reikia nedelsiant pašalinti
Turėdama plačias galimybes, „StreamSpy“ suteikia užpuolikams galimybę išgauti slaptus duomenis, diegti papildomą kenkėjišką programinę įrangą, trikdyti failus ir potencialiai užgrobti paskyras ar tapatybes. Jos buvimas įrenginyje aukoms kelia didelę riziką, įskaitant finansinius nuostolius ir tolesnį įsilaužimą. Jei ji aptinkama, ją reikia nedelsiant pašalinti naudojant patikimas saugos priemones ir kruopščias sistemos valymo procedūras.
Labai svarbu būti budriems dėl įtartinų failų, netikėtų ZIP archyvų ir nepageidaujamų pranešimų. Kadangi tokios grėsmės kaip „StreamSpy“ tampa vis įtikinamesnės, didelis vartotojų informuotumas išlieka viena veiksmingiausių apsaugos priemonių.
