Kako se malver Powerliks krije od antivirusa
Opisi virusa, 05.08.2014, 09:18 AM
Stručnjaci nemačkog proizvođača antivirusa kompanije G Data otkrili su novi malver nazvan Powerliks koji pokušava da izbegne detekciju i analizu tako što radi samo iz system registryja ne kreirajući fajlove na disku.
Ovakav koncept malvera koji postoji samo u memoriji sistema bez fajlova na disku nije nov, ali su takvi malveri retki zato što oni obično ne preživljavaju ponovna pokretanja sistema, kada se memorija očisti.
To nije slučaj sa malverom Powerliks, koji ima nešto drugačiji pristup koji mu obezbeđuje opstanak.
U fajlu koji započinje sve zlonamerne aktivnosti na sistemu sačuvan je ceo kod koji je neophodan za napad, koji šifrovan i sakriven, čeka da bude izvršen. Da bi se obavile zlonamerne aktivnosti, napadači idu korak po korak u dubinu koda. Izvršavanje ovih koraka jedan za drugim podseća na ruske lutke babuške (matrjoške).
Napad počinje emailom sa maliciozno izmenjenim Microsoft Word dokumentom u prilogu. U slučaju koji su analizirali u G Data, napadači su koristili ranjivost CVE-2012-0158 u MS Office i nekoliko drugih Microsoftovih proizvoda. Iako propust nije nov, mnogi korisnici koriste neažurirane verzije softvera koje mogu biti kompromitovane na ovaj način.
Kada se fajl pokrene, kreira se kodirani autostart ključ u registryju. Tehnika kodiranja koju koristi malver je zapravo Microsoftova a služi da zaštiti Microsoftov izvorni kod od izmena.
Da bi izbegao detekciju sistemskih alata, registry ključ se sakriva tako što nijedan karakter u nazivu ključa nije ASCII karakter. Registry Editor ne može da čita ne-ASCII karaktere i zbog toga ne može da otvori ključ, pa se pojavljuje poruka o grešci. Tako ni korisnik takođe ne može da vidi ključ.
Kreiranjem autostart ključa, napadači mogu biti sigurni da ponovno pokretanje sistema neće ukloniti malver sa računara.
Dekodiranje ključa otkriva dva koda: jedan koji proverava da li napadnuti računar ima instaliran Windows PowerShell, i drugi, Base64-encoded PowerShell skiptu za pozivanje i izvršavanje shellcodea.
Shellcode izvršava payload, koji pokušava da se poveže sa udaljenim C&C serverom za komandu i kontrolu da bi dobio instrukcije. Postoji nekoliko IP adresa za C&C servere i sve su hardkodovane.
Malver je teško otkriti uobičajenim zaštitnim mehanizmima jer ne kreira nijedan fajl na disku.
“Da bi se sprečili napadi kao što je ovaj, antivirusna rešenja moraju ili da uhvate fajl (početni Word dokument) pre nego što bude izvršen (ako postoji), po mogućstvu i pre nego što dođe do email inboxa korisnika. Ili, kao sledeća linija odbrane, oni (antivirusna rešenja) treba da otkriju exploit, ili kao poslednji korak, nadzorom registryja mora se otkriti neobično ponašanje, blokirati odgovarajući procesi i upozoriti korisnik”, kažu iz G Data.
Malver Powerliks je veoma moćan i može preuzeti bilo koji payload, a razmere štete koju može prouzrokovati Powerliks mogu biti velike. Powerliks može instalirati spyware na zaraženom računaru da bi prikupljao privatne podatke ili poslovna dokumenta. On može instalirati i bankarskog trojanca a posledica toga može biti krađa novca sa računa korisnika. Malver može instalirati bilo koji štetan program u zavisnosti od potreba napadača. Powerliks se može koristiti i u bot mrežama i tako iskoristiti za zarađivanje novca od prevara sa oglasima.
Više tehničkih detalja o malveru Powerliks možete naći na blogu kompanije G Data.
Izdvojeno
Novi malver sakriven u aplikaciji ''SpotifyMusicConverter'' inficira Mac računare
Mac računari su meta novog opasnog malvera nazvanog Cuckoo (Kukavica). Reč je o trojancu sakrivenom u legitimnom softveru kao što je Spotify, koji ... Dalje
Lažni cheat-ovi šire malver među gejmerima
Istraživači malvera iz kompanije McAfee otkrili su novi malver za krađu informacija koji je povezan sa malverom Redline. Malver se predstavlja se k... Dalje
Ruski backdoor u mrežama kompanija u istočnoj Evropi
Istraživači iz finske kompanije za sajber bezbednost WithSecure detaljno su opisali malo poznati ruski backdoor malver koji se koristi u napadima na... Dalje
Desetine hiljada WordPress sajtova zaraženo novim malverom Sign1
Malver „Sign1“ inficira WordPress veb sajtove, i preusmerava posetioce na prevare ili ih bombarduje reklamama, upozorili su istraživači ... Dalje
Kako je malver Inferno Drainer ukrao više od 80 miliona dolara od 136.000 korisnika kriptovaluta
Kao što privlači milione ljudi širom sveta, tako svet kriptovaluta privlači i sajber kriminalce koji pokušavaju da iskoriste neiskustvo i neznanj... Dalje
Pratite nas
Nagrade