Trojos arklys: Win64/PyBlankStealer
Kenkėjiška programa nebėra tik nepatogumas; ji gali sunaikinti duomenis, užgrobti finansus ir paversti jūsų kompiuterį šnipinėjimo įrankiu. Apsaugoti galinius įrenginius nuo tokių grėsmių kaip „Trojan:Win64/PyBlankStealer“ yra labai svarbu, nes vienas sėkmingas užkrėtimas gali sukelti daugkartinį įsilaužimą, finansinius nuostolius ir ilgalaikę žalą privatumui. Supratimas, kaip ši grėsmė veikia ir ką daryti, jei ji pasirodo, padės jums greitai reaguoti ir apriboti žalą.
Turinys
Kas iš tikrųjų yra „Trojan:Win64/PyBlankStealer“?
„Trojan:Win64/PyBlankStealer“ yra atsisiuntimo tipo Trojos arklys, kuris apsimeta teisėtu diegimo programa – dažniausiai pateikiamas kaip „Adobe Reader“ diegimo programa ar kita pažįstama programa. Paleidus, jis tyliai veikia fone ir bando gauti bei paleisti papildomus kenkėjiškus paketus. Šie antriniai paketai gali būti išpirkos reikalaujančios programinės įrangos, šnipinėjimo programos, bankininkystės Trojos arklys ar kiti komponentai, kurie praplečia užpuoliko pozicijas. Kadangi pagrindinis jo vaidmuo yra „atsisiųsti ir įdiegti“, pradinė „PyBlankStealer“ infekcija dažnai sukelia daugiapakopį įsilaužimą, o ne vieną, izoliuotą problemą.
Kaip jis plinta ir dažniausiai pasitaikantys perdavimo vektoriai
Užpuolikai platina „PyBlankStealer“ naudodami klasikinę socialinės inžinerijos metodą ir pažeistą turinį: netikrus diegimo failus, nulaužtos ar piratinės programinės įrangos paketus, kenkėjiškus el. laiškų priedus ir suklastotus atnaujinimų raginimus. Daugelio kampanijų metu aukos jį gauna iš torentų svetainių, neoficialių nemokamų programų portalų, užkrėstų tinklalapių, kuriuose rodomi apgaulingi iššokantys langai, arba sukčiavimo pranešimų, sukurtų taip, kad atrodytų kaip teisėtos paslaugos. Kai vartotojas paleidžia apgaulingą diegimo failą arba atidaro kenkėjišką failą, Trojos arklys įdiegia save ir pradeda susisiekti su savo komandų infrastruktūra.
Grėsmės gyvavimo ciklas ir jo keliama rizika
Po pradinio vykdymo „PyBlankStealer“ paprastai pakeičia paleidimo įrašus arba registro raktus, kad išlaikytų duomenų vientisumą, ir sukuria paslėptus procesus, kad būtų išvengta atsitiktinio aptikimo. Jis gali:
- Atsisiųskite ir paleiskite papildomas kenkėjiškų programų šeimas, kurios šifruoja failus, renka prisijungimo duomenis arba įgalina nuotolinį valdymą.
- Modifikuokite sistemos komponentus, kad jie atlaikytų perkrovimą ir išvengtų kai kurių antivirusinių įrankių.
- Registruoti klavišų paspaudimus, daryti ekrano kopijas arba išgauti prisijungimo duomenis ir kitą neskelbtiną informaciją į užpuoliko serverius.
- Suteikite nuotoliniams operatoriams galimybę vykdyti savavališkas komandas, kopijuoti duomenis arba naudoti pagrindinį kompiuterį didesnėse atakose.
Kadangi kriptovaliutų operacijos ir daugelis sąskaitų lygmens veiksmų yra negrįžtami, duomenų ir pinigų, pavogtų vykdant šias kompromitavimo grandines, dažnai neįmanoma atkurti.
Požymiai, rodantys, kad gali būti „PyBlankStealer“ ar panašių atsisiuntimo programų:
- Netikėti „diegimo programos“ raginimai plačiai naudojamai programinei įrangai, kurios neprašėte.
- Nauji, nežinomi foniniai procesai, kurie eikvoja procesoriaus arba tinklo pralaidumą.
- Nepaaiškinami failų atsisiuntimai, naujos suplanuotos užduotys arba modifikuoti paleisties elementai.
- Saugumo programinės įrangos įspėjimai, kuriuose įvardijami atsisiuntimo programų Trojos arkliai arba neįprasti failai.
(Šie rodikliai patys savaime nėra galutinis įrodymas, tačiau turėtų paskatinti atidžiau juos išnagrinėti.)
Kas yra klaidingai teigiamas rezultatas
Klaidingai teigiamas rezultatas gaunamas, kai saugos programinė įranga klaidingai atpažįsta teisėtą programinę įrangą arba gerybinį failą kaip kenkėjišką programą. Klaidingai teigiami rezultatai gali atsirasti dėl kelių priežasčių: euristiniai arba elgesiu pagrįsti varikliai gali pažymėti neįprastą diegimo programos elgseną (pvz., paleidimo įrašų pridėjimą) kaip kenkėjišką; bendrosios aptikimo taisyklės gali atitikti teisėtų programų naudojamus kodo šablonus arba pakavimo programas; arba nauji, nepasirašyti dvejetainiai failai gali atrodyti įtartinai, kol tiekėjai neatnaujina parašų. Aplinkose, kuriose teisėti įrankiai dažnai perpakuojami (pvz., pasirinktiniai diegimo programos, vidinės programos arba nulaužta programinė įranga), klaidingai teigiami rezultatai yra labiau tikėtini.
Kaip atskirti klaidingai teigiamą rezultatą nuo tikros infekcijos
Patikrinkite failą ir kontekstą: patikrinkite failo skaitmeninį parašą, leidėjo informaciją ir failo maišos kodą (hash). Palyginkite maišos kodą su žinomais teisėtais leidimais.
Ištirkite elgseną: ar failas rodo tinklo ryšius su žinomais kenkėjiškais domenais, sukuria įtartinus antrinius procesus ar praranda papildomus dvejetainius failus? Elgsenos įrodymai sustiprina tikro užkrato įrodymus.
Kryžminis patikrinimas su keliais moduliais: pateikite failą arba jo maišos kodą patikimiems kelių modulių skaitytuvams ir tiekėjų „smėlio dėžėms“. Jei jį pažymi tik vienas produktas, o kiti – ne, padidėja klaidingai teigiamo rezultato tikimybė, tačiau tai nėra įrodymas.
Naudokite saugią analizę: paleiskite įtartinus failus izoliuotoje, instrumentinėje aplinkoje (smėlio dėžėje arba neprisijungus veikiančioje laboratorijoje), kad stebėtumėte veiksmus nerizikuodami gamybos sistemomis.
Baigiamieji žodžiai
Tokie Trojos arkliai kaip „Trojan:Win64/PyBlankStealer“ yra pavojingi būtent todėl, kad jie yra dar didesnių grėsmių šaltinis. Greitas izoliavimas kartu su kruopščiu, įrodymais pagrįstu patikrinimu padės atskirti klaidingus pavojaus signalus nuo tikrų infekcijų ir apriboti žalą. Kurkite geras atsargines kopijas, vykdykite griežtą programinės įrangos tiekimo politiką ir įtariai vertinkite netikėtus diegimo ir atnaujinimo raginimus – šie žingsniai yra geriausia jūsų gynyba.
