Попытки обнаружить или проанализировать Rombertik вызывают в ответ стирание жестких дисков и разрушение компьютерной системы.
Эксперты по безопасности должны иметь возможность задерживать и тщательно проверять образцы новых вредоносных программ, попадающих в угрозу. ландшафт с целью улучшения продуктов безопасности и антивирусного программного обеспечения, предлагаемых службами кибербезопасности. компании. Однако в отместку злоумышленники усложняют себе жизнь, используя протоколы антиобнаружения и анализа, например, полностью уничтожая следы вредоносного ПО или системы.
Бен Бейкер и Алекс Чиу из Talos Group Cisco Systems сказал в своем блоге в понедельник что новый штамм шпионского ПО, получивший название Rombertik, представляет собой сложную систему, оснащенную «многоуровневыми функциями запутывания и антианализа», что подчеркивает эту растущую тенденцию.
Rombertik — это шпионское ПО, предназначенное для сбора данных обо всем, что жертва делает в Интернете, причем делает это неизбирательным образом, а не сосредотачивается на таких областях, как интернет-банкинг или учетные записи в социальных сетях. После загрузки в систему посредством фишинговой кампании и вредоносных вложений электронной почты Rombertik запускает серию антианалитических проверок, например, проверяет, работает ли он в «песочнице».
После завершения Rombertik расшифрует и установит себя на компьютер жертвы. После установки запускается вторая копия самой вредоносной программы, которая перезаписывается основной шпионской функцией вредоносного ПО.
Однако необычность шпионского ПО заключается в том, насколько далеко зайдет вредоносный код, чтобы предотвратить обнаружение, анализ и отладку. По данным Cisco, прежде чем вредоносное ПО начнет шпионить за жертвой, Rombertik выполняет окончательную проверку, чтобы определить, анализируется ли оно в памяти. Если эта проверка не пройдена, она уничтожит главную загрузочную запись (MBR) скомпрометированного компьютера, что сделает компьютер неработоспособным.
Рекомендуемые
- Windows 10 слишком популярна сама по себе?
- 5 способов найти лучшее место для начала карьеры
- Вот как генеративный ИИ изменит гиг-экономику к лучшему
- 3 причины, почему я предпочитаю этот Android за 300 долларов Google Pixel 6a
Исследователи смогли провести реверс-инжиниринг вредоносного ПО и обнаружили, что Ромбертик использует «мусорный код», чтобы повысить уровень анализируемого кода. Команда сделала небольшой образец и обнаружила, что распакованный образец Rombertik имеет размер 28 КБ, а упакованная версия — 1264 КБ, включая множество изображений и функций, которые никогда не используются. Кроме того, Rombertik зависает в песочницах, записывая в память случайный байт данных 960 миллионов раз.
«Если инструмент анализа попытается зарегистрировать все 960 миллионов инструкций записи, размер журнала вырастет до более чем 100 гигабайт», — объясняют исследователи. «Даже если бы среда анализа была способна обрабатывать такой большой журнал, запись такого объема данных на обычный жесткий диск заняла бы более 25 минут. Это усложняет анализ».
Ромбертик также проверяет, запускается ли он из yfoye.exe компонент. Если оно обнаружит проверку, вредоносная программа попытается перезаписать MBR. Если это не удастся, Rombertik перейдет к плану Б — и уничтожит все файлы в домашней папке пользователя, зашифровав каждый файл случайными ключами RC4.
По сути, если шпионские усилия Ромбертика будут подделаны, вредоносная программа запустит неприятный набор протоколов очистки, чтобы превратить ваш компьютер в кирпич. Однако уровень заражения остается довольно низким.
В заключение Cisco говорит:
«Хорошие методы обеспечения безопасности, такие как установка и обновление антивирусного программного обеспечения, отказ от открытия вложений от неизвестных отправителей, и обеспечение надежных политик безопасности для электронной почты (например, блокировка определенных типов вложений) может иметь большое значение, когда дело доходит до защиты пользователи.Однако подход к глубокоэшелонированной защите, охватывающий весь континуум атак, может помочь выявить вредоносное ПО и помощь в исправлении ситуации в случае, если злоумышленник найдет способ избежать обнаружения. изначально."
Читать далее: В мире безопасности
- Yahoo запускает вход без пароля
- Федералы идут по следу хакеров JPMorgan
- EquationDrug: Сложная и скрытая кража данных на протяжении более десяти лет
- Исследование Symantec выявило проблемы безопасности в подключенном доме
- Новая программа-вымогатель CryptoLocker нацелена на геймеров
Читайте дальше: Исправления и недостатки
- Adobe выпускает исправления для 11 критических уязвимостей в Flash Player
- Уязвимость Google Apps раскрывает данные WHOIS для 280 000 доменов
- Безопасность Samsung: сколько времени потребуется на установку исправлений?
- Dropbox исправляет брешь в безопасности Android