StyleServ

Ang StyleServ ay ikinategorya bilang isang uri ng malware na kilala bilang backdoor, na nagsisilbi ng isang partikular na papel sa larangan ng mga banta sa cyber. Ang backdoor-type na malware ay partikular na ginawa upang magsagawa ng dalawang-fold na function: una, naghahanda ito ng nakompromisong sistema para sa mas malawak na paglusot, at pangalawa, pinapadali nito ang pagpapatupad ng mga kasunod na yugto ng impeksyon. Ang mga susunod na yugtong ito ay kadalasang nagsasangkot ng pag-download at pag-install ng mga karagdagang hindi ligtas na programa o bahagi sa nahawaang sistema.

Sa kaso ng StyleServ, ang mga tiyak na layunin na itinataguyod nito ay kasalukuyang nababalot ng kawalan ng katiyakan. Gayunpaman, malaki ang posibilidad na ang pangunahing tungkulin nito ay kumilos bilang isang tool sa paghahanda sa konteksto ng isang mas malawak na diskarte sa cyberattack. Iminumungkahi nito na ang pangunahing tungkulin ng StyleServ ay lumikha ng mga kinakailangang kundisyon para sa mas advanced na mga anyo ng malware upang makalusot at makompromiso pa ang target na system.

Ang Mga Impeksyon sa StyleServ ay Maaaring Magkaroon ng Malalang kahihinatnan

Malaki ang posibilidad na ang StyleServ ay nagsisilbi ng isang kritikal na papel sa konteksto ng mga infiltrated na network, pangunahin sa pamamagitan ng pagsasagawa ng mga pag-scan upang matukoy ang impormasyon na maaaring mapagsamantalahan upang palawakin ang pag-atake. Kabilang dito ang pagtukoy sa mga kasalukuyang kahinaan at iba pang nauugnay na data. Ang mga naturang tool ay nakatulong sa mga naka-target na pag-atake, lalo na ang mga nailalarawan sa kanilang kakayahang umangkop, dahil lubos silang umaasa sa mga natatanging katangian ng target at sa postura ng seguridad nito.

Ang mga impeksyon sa StyleServ ay kilala na gumagamit ng isang pamamaraan na tinatawag na DLL side-loading. Sinasamantala ng paraang ito ang mekanismo ng pag-order ng paghahanap ng Windows DLL, na nagpapahintulot sa malware na gumamit ng isang lehitimong programa bilang isang sasakyan para sa pagpapatupad ng nakakahamak na payload nito, gaya ng StyleServ. Ang backdoor na ito ay karaniwang ginagamit sa mga passive na pag-atake, na nakikilala sa pamamagitan ng kanilang pagtutok sa pagsubaybay sa system. Ang aktibidad sa pagsubaybay na ito ay maaaring sumaklaw sa mga gawain tulad ng pag-scan ng kahinaan at port probing.

Sa mga passive na pag-atake, nag-iiba ang antas ng pakikipag-ugnayan sa nakompromisong system. Ang ilan ay nangangailangan ng kaunting pakikipag-ugnayan, habang ang iba ay nakikibahagi sa aktibong reconnaissance. Ang isang kapansin-pansing halimbawa ng aktibong reconnaissance ay ang port scanning, na naglalayong mangalap ng katalinuhan tungkol sa mga operasyon ng network. Sa partikular, nilalayon nitong tuklasin ang mga available na mahinang punto at potensyal na daan para sa mas malalim na paglusot.

Sa loob ng mekanismo ng impeksyon ng StyleServ, sa sandaling naisakatuparan ang DLL, sinisimulan nito ang paglikha ng limang mga thread, bawat isa ay nakatalaga sa ibang port. Pana-panahong sinusubukan ng mga thread na ito na i-access ang isang file na may pamagat na 'stylers.bin' sa pagitan ng 60 segundo. Ang bisa ng file ay tinutukoy batay sa pagkakaroon nito at pagsunod nito sa mga partikular na pamantayan.

Kung itinuring na wasto, ang file ay ginagamit sa mga kahilingan sa network para sa kasunod na mga thread. Ang pangunahing layunin ng mga thread na ito ay subaybayan ang mga aktibidad sa mga socket ng network. Dahil dito, gumagana ang mga thread na ito bilang mga naka-encrypt na bersyon ng "stylers.bin" at nagsisilbing mga receptor para sa mga malalayong koneksyon.

Mga Karaniwang Vector ng Impeksyon na Ginagamit ng mga Cybercriminal

Ang tiyak na paraan ng paglaganap ng StyleServ ay nananatiling hindi isiniwalat sa kasalukuyan. Ang pamamahagi ng malware ay karaniwang umaasa sa mga taktika ng phishing at social engineering, lalo na sa mga sopistikadong aktor ng pagbabanta na gumagamit ng mga naka-target na pag-atake at pang-engganyo.

Ang mga nagbabantang program na ito ay madalas na naka-camouflag sa loob o kasama ng mga ordinaryong software o media file. Maaari silang magpakita sa iba't ibang mga format, kabilang ang mga executable na file, mga archive tulad ng ZIP o RAR, mga dokumento, JavaScript code at higit pa.

Ang pinakalaganap na mga diskarte sa pamamahagi ay sumasaklaw: ang pagsasama ng mga mapanlinlang na attachment o link sa mga spam na email, direktang mensahe, pribadong mensahe o text message; palihim at mapanlinlang na pag-download ng drive-by; online na taktika; malvertising, na kinabibilangan ng mga mapanlinlang na kampanya sa advertising; kahina-hinalang mga pinagmumulan ng pag-download tulad ng hindi opisyal at libreng file-hosting website at peer-to-peer sharing network; mga ipinagbabawal na tool sa pag-activate ng software tulad ng 'mga bitak;' at mga pekeng update sa software.

Higit pa rito, ang ilang mga nakakapinsalang programa ay nagtataglay ng kakayahang magpalaganap sa sarili sa pamamagitan ng mga lokal na network at mga naaalis na kagamitan sa imbakan, kabilang ang mga USB flash drive at mga panlabas na hard drive. Binibigyang-diin nito ang magkakaibang hanay ng mga diskarte na ginagamit ng mga cybercriminal upang ipakalat ang malware.