Beep Malware

Kiberdrošības pētnieki ir atklājuši draudīgu programmatūru, kas tiek izsekota kā "pīkstiens". Šī ļaunprātīgā programmatūra ir izstrādāta ar plašu funkciju klāstu, kas padara to ļoti izturīgu pret drošības programmatūras atklāšanu un analīzi. Neskatoties uz to, ka ļaunprogrammatūra Beep atrodas izstrādes fāzē un tai trūkst noteiktu būtisku komponentu, tā spēj ļaut apdraudējuma dalībniekiem attālināti lejupielādēt un izpildīt papildu slodzes ierīcēs, kuras tā ir veiksmīgi apdraudējusi. Sīkāka informācija par draudiem tika publicēta ziņojumā, ko publicēja infosec eksperti.

Tas padara Beep par ļoti satraucošu draudu organizācijām un privātpersonām, jo tas potenciāli var nodrošināt uzbrucējiem nesankcionētu piekļuvi sensitīvai informācijai un kontrolēt ietekmētās ierīces. Lai novērstu šādus ļaunprātīgas programmatūras uzbrukumus, personām un organizācijām ir jāatjaunina sava drošības programmatūra un jāuzmanās, vai ierīcēs nerodas aizdomīgas darbības.

Ļaunprogrammatūra Beep var radīt ievērojamas briesmas mērķa upuriem

Pīkstiens ir paredzēts, lai savāktu sensitīvu informāciju no apdraudētās ierīces. Tas sastāv no trim galvenajām sastāvdaļām: pilinātāja, inžektora un kravnesības.

Pilinātājs, kas pazīstams arī kā "big.dll", izveido jaunu reģistra atslēgu ar noteiktu vērtību, ko sauc par AphroniaHaimavati. Šī vērtība satur PowerShell skriptu, kas ir kodēts base64 formātā. PowerShell skriptu palaiž ieplānots uzdevums ierīcē ik pēc 13 minūtēm.

Kad skripts tiek palaists, tas lejupielādē datus un saglabā tos inžektorā ar nosaukumu AphroniaHaimavati.dll. Inžektors ir atbildīgs par dažādu pretatkļūdošanas un anti-VM (virtualizācijas) paņēmienu izmantošanu, lai ievadītu derīgo slodzi likumīgā sistēmas procesā, ko sauc par “WWAHost.exe”. Tas tiek darīts, izmantojot procesu, ko sauc par procesa dobumu, kas palīdz izvairīties no atklāšanas no drošības rīkiem, kas darbojas resursdatorā.

Primārā krava ir atbildīga par datu vākšanu no apdraudētās ierīces un tās šifrēšanu. Pēc tam tas mēģina nosūtīt šifrētos datus uz komandu un vadības (C2) serveri, kas tika kodēts. Analīzes laikā cietā kodētā C2 adrese bija bezsaistē, taču ļaunprogrammatūra turpināja mēģināt izveidot savienojumu pat pēc 120 neveiksmīgiem mēģinājumiem.

Ļaunprogrammatūra Beep ir ļoti vērsta uz to, lai tā paliktu neatklāta

Ļaunprātīgā programmatūra Beep ir pazīstama ar vairākām izvairīšanās metodēm, kas ieviestas visā tās izpildes plūsmā, apgrūtinot drošības programmatūras un infosec pētnieku atklāšanu un analīzi. Šīs metodes cita starpā ietver virkņu atslābināšanu, sistēmas valodas pārbaudi, atkļūdotāja noteikšanu, anti-VM un pretsmilškastes pasākumus. Ļaunprātīgas programmatūras inžektora komponents ievieš arī vairākas papildu pretatkļūdošanas un atklāšanas un izvairīšanās metodes. Pīķa fokuss uz izvairīšanos norāda, ka tas var būt gaidāms drauds, no kā jāuzmanās, neskatoties uz to, ka pašlaik tās darbības savvaļā ir ierobežotas.