Popust za več licenc
Podjetje o grožnjah Zlonamerna programska oprema Zlonamerna programska oprema DeepLoad

Zlonamerna programska oprema DeepLoad

Do leta Mezo leta Zlonamerna programska oprema, Napredna trajna grožnja (APT)
Prevedi v:

Novo odkrita napadalna kampanja uporablja tehniko socialnega inženiringa ClickFix za sprožitev okužbe. Žrtve so zmanipulirane, da izvajajo zlonamerne ukaze PowerShell tako, da jih prilepijo v pogovorno okno Zaženi v sistemu Windows pod pretvezo reševanja izmišljene sistemske težave. Ta začetni korak uporablja mshta.exe, legitimno orodje za Windows, za pridobivanje in izvajanje prikritega nalagalnika, ki temelji na PowerShellu.

Zatemnitev, zasnovana za izogibanje

Nalagalnik PowerShell prikriva svoj pravi namen s pretiranim in nesmiselnim dodeljevanjem spremenljivk, kar znatno otežuje statično analizo. Dokazi kažejo, da so bila za izdelavo te plasti zakrivanja verjetno uporabljena orodja umetne inteligence, kar je povečalo njeno sofisticiranost. Ta pristop omogoča zlonamerni programski opremi, da zaobide tradicionalne mehanizme zaznavanja, hkrati pa ohrani operativno integriteto.

Prikritost skozi sistemsko kamuflažo

DeepLoad je posebej zasnovan tako, da se neopazno zlije s standardnimi operacijami sistema Windows. Nosilec je skrit v izvedljivi datoteki z imenom LockAppHost.exe, legitimnem procesu, ki je odgovoren za upravljanje zaklenjenega zaslona sistema Windows. Da bi še bolj prikrila svojo prisotnost, zlonamerna programska oprema onemogoči zgodovino ukazov PowerShell in neposredno pokliče izvorne osnovne funkcije sistema Windows, namesto da bi se zanašala na standardne ukaze PowerShell. Ta tehnika ji omogoča, da se izogne sistemom za spremljanje, ki spremljajo dejavnost PowerShell.

Tehnike brez datotek in dinamično generiranje koristnega tovora

Da bi zmanjšal zaznavanje, DeepLoad preprečuje, da bi na disku puščal dosledne artefakte. Dinamično ustvari sekundarno komponento z uporabo funkcije Add-Type v PowerShellu in prevede kodo C# v začasno datoteko DLL, shranjeno v uporabnikovem imeniku Temp. Vsako izvajanje ustvari enolično poimenovano datoteko, s čimer učinkovito zaobide metode zaznavanja na podlagi datotek, ki se zanašajo na znane podpise.

Napredno injiciranje za prikrito izvedbo

Ključna strategija izogibanja vključuje uporabo asinhronega vbrizgavanja klicev procedur (APC). Zlonamerna programska oprema zažene legitimen proces sistema Windows v stanju mirovanja, vbrizga shellcode neposredno v njegov pomnilnik in nadaljuje z izvajanjem. Ta metoda zagotavlja, da se zlonamerni koristni tovor izvaja znotraj zaupanja vrednega procesa, ne da bi na disk zapisal dekodirano različico, kar znatno zmanjša njegov forenzični odtis.

Vztrajni mehanizmi kraje poverilnic

DeepLoad je zasnovan tako, da takoj po zagonu izvleče občutljive uporabniške podatke. Njegove zmogljivosti vključujejo:

  • Pridobivanje shranjenih gesel brskalnika neposredno iz okuženega sistema
  • Namestitev zlonamerne razširitve brskalnika, ki v realnem času zajema poverilnice med poskusi prijave in se ohranja med sejami, razen če je ročno odstranjena

Bočno širjenje prek odstranljivih medijev

Zlonamerna programska oprema uporablja tehnike širjenja, zasnovane za izkoriščanje odstranljivih pomnilniških naprav. Ko zazna USB-pogone ali podobne medije, kopira zlonamerne bližnjice, prikrite kot legitimne namestitvene programe. Te datoteke so poimenovane tako, da so videti zaupanja vredne, kar povečuje verjetnost interakcije uporabnika in nadaljnje okužbe.

Tiha ponovna okužba z zlorabo WMI

DeepLoad vzpostavi vztrajnost z uporabo Windows Management Instrumentation (WMI). Ustvari naročnine na dogodke, ki sprožijo ponovno okužbo po treh dneh, ne da bi zahtevale interakcijo uporabnika ali vpletenost napadalca. Ta tehnika moti tudi tradicionalne modele zaznavanja, saj prekine pričakovane odnose med procesi starš in otrok.

Strateški cilj: Popolna pokritost verige uničenja

Celotna zasnova DeepLoada kaže na večfunkcijski okvir zlonamerne programske opreme, ki je sposoben izvajati dejanja v celotni verigi kibernetskega uničenja. Njegova operativna strategija se osredotoča na:

  • Izogibanje artefaktom na disku za zmanjšanje možnosti zaznavanja
  • Združevanje zlonamerne dejavnosti z legitimnimi procesi sistema Windows
  • Hitro širjenje po sistemih za razširitev svojega odtisa

Kazalniki skalabilnega okvira groženj

Infrastruktura in modularna zasnova, povezana z DeepLoadom, nakazujeta možnost deljenega ali storitveno usmerjenega modela uvajanja. Čeprav so značilnosti skladne s ponudbami Malware-as-a-Service (MaaS), trenutno ni dovolj dokazov za dokončno potrditev te klasifikacije.

V trendu

Napaka HTTP 401 Neveljaven varnostni žeton E-poštna...

Lažno predstavljanje, Neželena pošta
Nepričakovana e-poštna sporočila, ki zahtevajo takojšnje ukrepanje, so pogosta taktika, ki jo kibernetski kriminalci uporabljajo za manipulacijo nič hudega slutečih prejemnikov. Sporočila, ki trdijo, da gre za nujne tehnične težave ali težave z računom, pogosto poskušajo ustvariti paniko, zato se uporabniki odzovejo, ne da bi preverili informacije. Zato je bistveno, da ostanete pozorni pri...

Najbolj gledan

Nalaganje...