Vairāku licenču atlaides piedāvājums
Draudu datu bāze Ļaunprātīga programmatūra DeepLoad ļaunprogrammatūra

DeepLoad ļaunprogrammatūra

Līdz Mezo. gadam Ļaunprātīga programmatūra, Advanced Persistent Threat (APT). gadā
Tulkot uz:

Jaunatklātā uzbrukuma kampaņā inficēšanas uzsākšanai tiek izmantota ClickFix sociālās inženierijas metode. Cietušie tiek manipulēti, lai izpildītu ļaunprātīgas PowerShell komandas, ielīmējot tās Windows palaišanas dialoglodziņā, aizbildinoties ar safabricētas sistēmas problēmas risināšanu. Šajā sākotnējā solī tiek izmantota likumīga Windows utilīta mshta.exe, lai izgūtu un izpildītu apslēptu PowerShell ielādētāju.

Aptumšošana, kas paredzēta izvairīšanai

PowerShell ielādētājs slēpj savu patieso mērķi, izmantojot pārmērīgu un bezjēdzīgu mainīgo piešķiršanu, ievērojami sarežģot statisko analīzi. Pierādījumi liecina, ka šī obfukcēšanas slāņa izveidei, visticamāk, tika izmantoti mākslīgā intelekta rīki, tādējādi uzlabojot tā sarežģītību. Šī pieeja ļauj ļaunprogrammatūrai apiet tradicionālos noteikšanas mehānismus, vienlaikus saglabājot darbības integritāti.

Slepenība caur sistēmas maskēšanos

DeepLoad ir īpaši izstrādāts, lai nemanāmi iekļautos standarta Windows darbībās. Datu krātuve ir paslēpta izpildāmā failā ar nosaukumu LockAppHost.exe — likumīgā procesā, kas atbild par Windows bloķēšanas ekrāna pārvaldību. Lai vēl vairāk slēptu tā klātbūtni, ļaunprogramma atspējo PowerShell komandu vēsturi un tieši izsauc vietējās Windows pamatfunkcijas, nevis paļaujas uz standarta PowerShell komandām. Šī metode ļauj tai apiet uzraudzības sistēmas, kas izseko PowerShell darbību.

Bezfailu metodes un dinamiskās lietderīgās slodzes ģenerēšana

Lai samazinātu atklāšanas risku, DeepLoad izvairās no konsekventu artefaktu atstāšanas diskā. Tas dinamiski ģenerē sekundāro komponentu, izmantojot PowerShell funkciju Add-Type, kompilējot C# kodu pagaidu DLL failā, kas tiek glabāts lietotāja pagaidu direktorijā. Katra izpilde ģenerē unikāli nosauktu failu, efektīvi apejot uz failiem balstītas noteikšanas metodes, kas balstās uz zināmiem parakstiem.

Uzlabota injekcija slepenai izpildei

Galvenā apiešanas stratēģija ietver asinhronas procedūru izsaukuma (APC) injekcijas izmantošanu. Ļaunprogrammatūra apturētā stāvoklī palaiž likumīgu Windows procesu, ievada apvalkkodu tieši atmiņā un atsāk izpildi. Šī metode nodrošina, ka ļaunprātīgā lietderīgā slodze darbojas uzticamā procesā, nerakstot dekodētu versiju diskā, ievērojami samazinot tās forensiālo ietekmi.

Pastāvīgi akreditācijas datu zādzības mehānismi

DeepLoad ir izstrādāts tā, lai nekavējoties pēc izpildes iegūtu sensitīvus lietotāja datus. Tā iespējas ietver:

  • Saglabāto pārlūkprogrammas paroļu iegūšana tieši no inficētās sistēmas
  • Izvietot ļaunprātīgu pārlūkprogrammas paplašinājumu, kas pieteikšanās mēģinājumu laikā reāllaikā fiksē akreditācijas datus un saglabājas visās sesijās, ja vien tas netiek manuāli noņemts.

Sānu izplatīšanās, izmantojot noņemamus datu nesējus

Ļaunprogrammatūra ietver izplatīšanas metodes, kas paredzētas noņemamu atmiņas ierīču izmantošanai. Atklājot USB diskus vai līdzīgus datu nesējus, tā kopē ļaunprātīgus saīsņu failus, kas maskēti kā likumīgi instalētāji. Šie faili ir nosaukti tā, lai tie izskatītos uzticami, palielinot lietotāja mijiedarbības un tālākas inficēšanas iespējamību.

Klusa atkārtota inficēšanās, izmantojot WMI ļaunprātīgu izmantošanu

DeepLoad izveido noturību, izmantojot Windows pārvaldības instrumentāciju (WMI). Tas izveido notikumu abonementus, kas aktivizē atkārtotu inficēšanu pēc trīs dienu aizkaves, neprasot lietotāja mijiedarbību vai uzbrucēja iesaistīšanos. Šī metode arī izjauc tradicionālos noteikšanas modeļus, pārtraucot paredzētās vecāku un bērnu procesu attiecības.

Stratēģiskais mērķis: Pilnīga nogalināšanas ķēdes pārklājums

DeepLoad kopējais dizains norāda uz daudzfunkcionālu ļaunprogrammatūras ietvaru, kas spēj veikt darbības visā kiberuzbrukumu ķēdē. Tā darbības stratēģija koncentrējas uz:

  • Izvairīšanās no artefaktiem diskā, lai samazinātu atklāšanas iespējas
  • Ļaunprātīgas darbības sajaukšana likumīgos Windows procesos
  • Ātra izplatīšanās dažādās sistēmās, lai paplašinātu savu darbības jomu

Mērogojama draudu ietvara indikatori

Ar DeepLoad saistītā infrastruktūra un modulārā konstrukcija liecina par koplietota vai uz pakalpojumiem balstīta izvietošanas modeļa iespējamību. Lai gan raksturlielumi atbilst ļaunprogrammatūras kā pakalpojuma (MaaS) piedāvājumiem, pašlaik nav pietiekamu pierādījumu, lai galīgi apstiprinātu šo klasifikāciju.

Tendences

HTTP kļūda 401 Nederīga drošības žetona e-pasta...

Pikšķerēšana, Mēstules
Negaidīti e-pasti, kas pieprasa tūlītēju rīcību, ir izplatīta taktika, ko kibernoziedznieki izmanto, lai manipulētu ar neko nenojaušošiem adresātiem. Ziņojumi, kas apgalvo par steidzamām tehniskām problēmām vai konta problēmām, bieži vien cenšas radīt paniku, lai lietotāji reaģētu, nepārbaudot informāciju. Šī iemesla dēļ ir svarīgi saglabāt modrību, strādājot ar nepazīstamiem vai satraucošiem...

Visvairāk skatīts

Notiek ielāde...