Спроби виявити або проаналізувати Rombertik призводять до знищення жорстких дисків і руйнування комп’ютерної системи у відповідь.
Експерти з безпеки повинні мати можливість затримувати та ретельно досліджувати зразки нового шкідливого програмного забезпечення, яке входить у загрозу ландшафт для покращення продуктів безпеки та антивірусного програмного забезпечення, які пропонує кібербезпека компаній. Однак у помсту зловмисники ускладнюють собі життя через використання протоколів захисту від виявлення та аналізу, наприклад видалення слідів зловмисного програмного забезпечення або системи взагалі.
Бен Бейкер і Алекс Чіу з Cisco Systems Talos Group сказав у блозі в понеділок що новий вид шпигунського програмного забезпечення під назвою Rombertik є складною системою з «кількома рівнями обфускації та функціональністю антианалізу», що підкреслює цю зростаючу тенденцію.
Rombertik — це шпигунське програмне забезпечення, призначене для збору даних про все, що жертва робить в Інтернеті, роблячи це невибірковим чином, а не зосереджуючись на таких сферах, як Інтернет-банкінг або облікові записи в соціальних мережах. Після завантаження в систему за допомогою фішингової кампанії та зловмисних вкладень електронної пошти Rombertik виконує серію перевірок антианалізу, наприклад перевіряє, чи працює він у пісочниці.
Після завершення Rombertik розшифрує та встановить себе на комп’ютері жертви. Після встановлення запускається друга його копія, яка перезаписується основною шпигунською функцією зловмисного програмного забезпечення.
Проте шпигунське програмне забезпечення є незвичайним у тому, наскільки далеко заходить шкідливий код, щоб запобігти виявленню, аналізу та налагодженню. За словами Cisco, перед тим, як зловмисне програмне забезпечення почне шпигувати за жертвою, Rombertik виконує останню перевірку, щоб виявити, чи воно аналізується в пам’яті. Якщо ця перевірка не вдасться, головний завантажувальний запис (MBR) скомпрометованого комп’ютера буде знищено, що призведе до непрацездатності ПК.
Рекомендовані
- Чи Windows 10 надто популярна?
- 5 способів знайти найкраще місце для початку кар’єри
- Ось як генеративний ШІ змінить економіку концертів на краще
- 3 причини, чому я віддаю перевагу цьому Android за 300 доларів, ніж Pixel 6a від Google
Дослідники змогли провести зворотне проектування зловмисного програмного забезпечення та виявили, що Rombertik використовує «сміттєвий код» для збільшення рівня коду, що підлягає аналізу. Команда захопила невеликий зразок і виявила, що розпакований зразок Rombertik має 28 КБ, тоді як запакована версія – 1264 КБ, включаючи багато зображень і функцій, які ніколи не використовуються. Крім того, Rombertik зупиняється в пісочницях, записуючи випадковий байт даних у пам’ять 960 мільйонів разів.
«Якби інструмент аналізу спробував зареєструвати всі 960 мільйонів інструкцій запису, розмір журналу перевищив би 100 гігабайт», — пояснюють дослідники. «Навіть якби середовище аналізу було здатне обробляти такий великий журнал, потрібно було б більше 25 хвилин, щоб записати стільки даних на типовий жорсткий диск. Це ускладнює аналіз».
Rombertik також перевіряє, чи працює він із yfoye.exe компонент. Якщо виявить перевірку, зловмисне програмне забезпечення спробує перезаписати MBR. Якщо це не вдасться, Rombertik перейде до плану Б — і знищить усі файли в домашній папці користувача, зашифрувавши кожен файл випадковими ключами RC4.
По суті, якщо шпигунські зусилля Rombertik підроблені, зловмисне програмне забезпечення запускає неприємний набір протоколів очищення, щоб перетворити ваш комп’ютер на цеглину. Однак рівень зараження залишається досить низьким.
На закінчення Cisco каже:
«Хороші методи безпеки, такі як переконатися, що антивірусне програмне забезпечення встановлено та підтримується в актуальному стані, не натискати вкладення від невідомих відправників, і забезпечення надійної політики безпеки для електронної пошти (наприклад, блокування певних типів вкладень) може мати велике значення, коли йдеться про захист користувачів.Однак підхід до глибокого захисту, який охоплює весь континуум атаки, може допомогти визначити зловмисне програмне забезпечення та допоможе у виправленні у випадку, якщо зловмисник знайде спосіб уникнути виявлення спочатку».
Читати далі: У світі безпеки
- Yahoo запускає вхід без пароля
- Федеральні органи на слідах хакерів JPMorgan
- EquationDrug: складна та прихована крадіжка даних протягом більше десяти років
- Дослідження Symantec висвітлюють збої безпеки в підключеному будинку
- Нова програма-вимагач CryptoLocker націлена на геймерів
Читайте далі: Виправлення та недоліки
- Adobe випускає виправлення для 11 критичних уразливостей у Flash Player
- Помилка Google Apps розкриває дані WHOIS для 280 000 доменів
- Безпека Samsung: скільки часу «занадто довго» для виправлення?
- Dropbox виправляє недолік безпеки Android