Glupteba создает бэкдор в зараженные системы Windows, и исследователи полагают, что он будет предложен киберпреступникам как простой способ распространения других вредоносных программ.
В ходе кампании по созданию вредоносного ПО, которая создает бэкдор, обеспечивающий полный доступ к скомпрометированным ПК с ОС Windows и добавляющим их в растущий ботнет, были разработаны некоторые необычные меры, позволяющие оставаться незамеченными.
Glupteba впервые появилась в 2018 году и начала с постепенной установки большего количества компонентов на зараженные машины в попытке создать бэкдор в системе.
Конфиденциальность
- Как удалить себя из результатов поиска в Интернете и скрыть свою личность в Интернете
- Лучшие браузеры для обеспечения конфиденциальности
- Смартфон Samsung «Режим ремонта» не позволяет техническим специалистам просматривать ваши фотографии
- Безопасны ли приложения для отслеживания менструации?
вредоносное ПО постоянно находится в разработке и за последние несколько месяцев в него были добавлены новые методы и тактики, чтобы совпасть с новой кампанией, подробно описанной исследователями кибербезопасности в Софос.
ВИДЕТЬ: Выигрышная стратегия в области кибербезопасности(Специальный репортаж ZDNet) | Скачать отчет в формате PDF(Техреспублик)
Бумага описывает Glupteba как «вредоносное ПО с высокой степенью самозащиты», при этом стоящая за ним группа киберпреступников уделяет особое внимание «улучшению функций, которые позволяют вредоносному ПО уклоняться от обнаружения».
Однако метод его распространения относительно прост: он поставляется с пиратским программным обеспечением, включая взломанные версии коммерческих приложений, а также с нелегальными загрузками видеоигр. Идея состоит в том, чтобы заставить как можно больше пользователей загружать взломанные приложения, содержащие полезную нагрузку Glupteba.
Чтобы обеспечить максимальную вероятность успешного взлома, вредоносное ПО загружается в систему постепенно, шаг за шагом, чтобы избежать обнаружения любым антивирусным программным обеспечением, которое может быть установлено пользователем. Вредоносная программа также использует уязвимость EternalBlue SMB чтобы помочь ему тайно распространиться по сетям.
Но на этом маскировка и самозащита не заканчиваются, поскольку даже после установки Glupteba старается изо всех сил оставаться незамеченной.
«Похоже, создатели потратили необычно много усилий на усиление скрытных возможностей бота по сравнению с другими вредоносными программами», — сказал ZDNet Эндрю Брандт, главный исследователь Sophos.
Glupteba использует ряд программных эксплойтов для повышения привилегий, в первую очередь для установки ядра. драйвер, который бот использует в качестве руткита, и вносить другие изменения, которые ослабляют уровень безопасности зараженного хоста.
В компании Sophos заявили, что руткит делает поведение файловой системы невидимым для конечного пользователя компьютера, а также защищает любой другой файл, который вредоносное ПО решит сохранить в каталоге своего приложения. Затем процесс-наблюдатель отслеживает руткит и другие компоненты на наличие признаков сбоя или сбоя и может повторно инициализировать драйвер руткита или перезапустить компонент с ошибкой.
«Они также изобрели несколько запутанный метод, чтобы скрыть свои обновления адресов серверов управления и контроля. на виду, размещая эти обновления в виде зашифрованных данных, привязанных к транзакциям в блокчейне биткойнов», — Брандт добавлен.
Последняя кампания Glupteba описывается как относительно плодотворная и, по-видимому, соответствующая цели взлома как можно большего числа компьютеров.
В настоящее время основной деятельностью Glupteba является майнинг криптовалюты. Но то, как он создает бэкдор для взломанных компьютеров, в сочетании с тем, как те, кто стоит за ним, пытаются создать большой ботнет из легкодоступных машин предполагает, что конечной целью является сдача его в аренду в качестве средства распространения других форм вредоносного ПО среди жертв.
«Я бы сказал, что злоумышленники Glupteba стремятся позиционировать себя как компанию, предоставляющую вредоносное ПО как услугу. поставщиком другим производителям вредоносного ПО, которые ценят долговечность и скрытность, а не шумный и быстрый финал, пример, полезная нагрузка программы-вымогателя", - сказал Брандт.
То, как те, кто стоит за Glupteba, регулярно исправляют любые возникающие ошибки или сбои, также свидетельствует о том, что они стремятся поддерживать как можно более бесперебойную работу в будущем.
ВИДЕТЬ: Вредоносная программа Dreambot замолчала
Кампания все еще активна и пытается привлечь больше машин в ботнет. Самый простой способ, которым пользователи могут избежать стать жертвой Glupteba, — это обеспечить наличие критического обновления безопасности, выпущенного для установлена защита от EternalBlue.
Microsoft выпустила патч в 2017 году, но EternalBlue остается успешным благодаря значительное количество систем Microsoft Windows по всему миру, на которых она не установлена, подвергая их риску стать жертвой этого и других вредоносных программ.
Пользователям также следует опасаться загрузки приложений – особенно взломанных – из ненадежных источников.
«Здесь, как и везде, применяются обычные общие меры предосторожности: не запускайте то, что не следует, сохраняйте все исправлено, и всегда проверяйте, установлена ли на вашем компьютере какая-то защита от вредоносных программ», — сказал Брандт.
ПОДРОБНЕЕ О КИБЕРБЕЗОПАСНОСТИ
- Окончание срока службы Windows 7: риски безопасности и что делать дальше
- Спешите исправлять? Вот как расставить приоритеты в усилиях по обеспечению безопасности Техреспублика
- Кибербезопасность: как правильно разработать стратегию обновления программного обеспечения и держать хакеров на расстоянии
- АНБ сообщило о серьезном недостатке безопасности Windows 10 в тот же день, когда закончилась поддержка Windows 7 vrenture.com/
- Программы-вымогатели, слежка и попытки отключения: узнайте, что хакеры сделали с этими системами, оставшимися незащищенными в Интернете.