„Whiffy Recon“ kenkėjiška programa

Kibernetinio saugumo specialistai aptiko naujo tipo „Wi-Fi“ nuskaitymo kenkėjišką programą, vadinamą „Whiffy Recon“. Grėsmė diegiama Windows kompiuteriuose, kurie jau buvo pažeisti. Kibernetiniai nusikaltėliai, atsakingi už atakos operaciją, naudoja liūdnai pagarsėjusią ir grėsmingą „SmokeLoader“ programinę įrangą kaip „Whiffy Recon“ pristatymo vektorių.

Nauja kenkėjiškų programų atmaina turi išskirtinę funkciją. Reguliariais 60 sekundžių intervalais jis atlieka procesą, kurio metu nustato užkrėstų sistemų padėtis. Tai pasiekiama nuskaitant netoliese esančius „Wi-Fi“ prieigos taškus, naudojant surinktus duomenis kaip atskaitos taškus „Google“ geografinės vietos API užklausai. Vėliau gauta vietos informacija iš „Google“ geografinės padėties API perduodama kenkėjiškam veikėjui, atliekančiam šią operaciją.

„Whiffy Recon“ yra labai specializuota grėsmė

„Whiffy Recon“ veikia pirmiausia patikrindama, ar užkrėstoje sistemoje yra WLAN automatinio konfigūravimo paslauga (WLANSVC). Jei paslaugos pavadinimas nerandamas, kenkėjiška programa pati baigiasi. Tačiau skaitytuvas netikrina, ar paslauga veikia.

Kad būtų užtikrintas patvarumas, sukuriama nuoroda ir įtraukiama į Windows paleisties aplanką.

Be to, kenkėjiška programa sukonfigūruota taip, kad užmegztų ryšį su nuotoliniu komandų ir valdymo (C2) serveriu. Tai pasiekiama siunčiant atsitiktinai sugeneruotą „botID“ HTTP POST užklausoje. C2 serveris atsako sėkmės pranešimu ir unikaliu slaptu identifikatoriumi, kuris išsaugomas faile pavadinimu „%APPDATA%\Roaming\wlan\str-12.bin“.

Kitas atakos etapas apima „Wi-Fi“ prieigos taškų nuskaitymą naudojant „Windows WLAN API“ kas 60 sekundžių. Tada surinkti nuskaitymo rezultatai siunčiami į Google Geolocation API, kad būtų galima nustatyti tikslią pažeistos sistemos vietą. Tada ši informacija JSON eilutės forma perduodama į C2 serverį.

Tyrėjai retai pastebi atvejų, kai nusikaltėlių veikėjai naudojasi tokio pobūdžio veikla ir sugebėjimais. Nors „Whiffy Recon“ grėsmei trūksta tiesioginio greito pajamų gavimo potencialo kaip atskiros galimybės, neaiškumai, susiję su jos ketinimais, kelia nerimą. Nerimą kelianti realybė yra ta, kad ją būtų galima panaudoti įvairiems nesaugiems tikslams pasiekti.

Kalbant apie „SmokeLoader“ grėsmę, kaip rodo pavadinimas, ši kenkėjiška programa pirmiausia veikia kaip įkroviklis. Vienintelis jo tikslas yra perkelti papildomus naudingus krovinius į tikslinį pagrindinį kompiuterį. Nuo 2014 m. šią kenkėjišką programą gali įsigyti Rusijoje įsikūrę grėsmės veikėjai. Paprastai jis platinamas per sukčiavimo el. laiškus.

Svarbiausia yra nustatyti priemones, skirtas kovoti su kenkėjiškomis programomis

Labai svarbu įgyvendinti kovos su kenkėjiškų programų infekcijomis priemones. Kenkėjiška programa arba grėsminga programinė įranga kelia didelę grėsmę kompiuterių sistemų, tinklų ir duomenų saugumui ir funkcionalumui. Šios grėsmės svyruoja nuo neteisėtos prieigos prie duomenų pažeidimų, finansinių nuostolių ir svarbiausių operacijų sutrikimo. Norint apsaugoti skaitmeninį turtą ir išlaikyti sistemų vientisumą, būtina nustatyti veiksmingas kovos su kenkėjiškomis programomis priemones.

• Reguliarūs programinės įrangos atnaujinimai : kenkėjiška programa dažnai išnaudoja žinomus operacinių sistemų ir programinės įrangos pažeidžiamumus. Norint uždaryti galimus kenkėjiškų programų įėjimo taškus, labai svarbu nuolat atnaujinti visą programinę įrangą pridedant saugos pataisų ir naujinimų.
• Vartotojų švietimas : daugelis kenkėjiškų programų atakų nukreipia naudotojus per socialinės inžinerijos taktiką, pvz., sukčiavimo el. laiškus arba apgaulingą atsisiuntimą. Supažindinant vartotojus apie pavojų spustelėjus įtartinas nuorodas, atidarant priedus iš nežinomų šaltinių ir naudojant saugaus naršymo įpročius, galima žymiai sumažinti užsikrėtimo riziką.
• Prieigos kontrolė ir privilegijų valdymas : Apribojus vartotojo teises ir prieigos teises, gali būti apribotas galimas kenkėjiškų programų poveikis. Minimalių privilegijų principo įgyvendinimas užtikrina, kad vartotojai turės prieigą tik prie išteklių, reikalingų jų vaidmenims, ir sumažina kenkėjiškų programų atakų paviršių.
• Atsarginė kopija ir atkūrimas : norint sušvelninti išpirkos reikalaujančių programų atakų poveikį, būtina reguliariai kurti atsargines esminių duomenų ir sistemų atsargines kopijas. Užsikrėtus galima atkurti švarius duomenis, užkertant kelią duomenų praradimui ir prievartavimo bandymams.
• Tinklo segmentavimas : segmentuojant tinklus ir atskiriant svarbiausias sistemas nuo mažiau saugių, gali būti sustabdytas kenkėjiškų programų plitimas. Jei vienas segmentas yra pažeistas, kenkėjiška programa gali sunkiau judėti į šoną ir užkrėsti kitas tinklo dalis.
• Nuolatinis stebėjimas : nuolatinio stebėjimo saugos įrankių ir praktikos naudojimas padeda anksti aptikti ir užkirsti kelią kenkėjiškų programų veiklai. Anomalijos ir įtartinas elgesys gali būti nustatomi greitai, todėl galima laiku įsikišti.
• Pardavėjo ir programinės įrangos įvertinimas : prieš integruodamos trečiosios šalies programinę įrangą ar paslaugas į tinklą, organizacijos turėtų įvertinti savo saugumo priemones ir reputaciją. Tai padeda išvengti netyčinio kenkėjiškų programų įvedimo per pažeistą programinę įrangą.
• Bendradarbiavimas ir dalijimasis informacija : labai svarbu būti informuotam apie naujausias kenkėjiškų programų tendencijas ir atakų metodus. Bendradarbiavimas su saugumo bendruomenėmis ir dalijimasis grėsmių žvalgybos informacija gali padėti aktyviai apsiginti nuo besivystančių kenkėjiškų programų grėsmių.

Apibendrinant galima pasakyti, kad norint apsaugoti skaitmeninį turtą, vartotojų privatumą ir bendrą sistemų funkcionalumą, itin svarbu nustatyti priemones, apsaugančias nuo kenkėjiškų programų. Norint veiksmingai sumažinti kenkėjiškų programų keliamą riziką, būtinas daugiasluoksnis požiūris, kuriame derinamos technologijos, vartotojų švietimas ir aktyvios strategijos.