foto1
Kolejna recenzja - Natec Alfama Ring Light
foto1
Kolejna recenzja - Natec Alfama Ring Light
foto1
Kolejna recenzja - Natec Alfama Ring Light
foto1
Kolejna recenzja - Natec Alfama Ring Light
foto1
Kolejna recenzja - Natec Alfama Ring Light
e-mail: blogotech@blogotech.eu
Phone: +48

Kalendarz

Pn Wt Śr Cz Pt So N
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31

Podziel się ze mną swoimi uwagami na temat mojego bloga, co Ci się podoba, co Ci się nie podoba, jakie recenzje chciałbyś tu zobaczyć itp.

Kliknij mnie

 

Logo G Data

Eksperci z G DATA wykryli, że jeden z badanych przez nich kodów downloadera złośliwego oprogramowania został tak sprytnie zamaskowany, że początkowo można było wziąć go za uszkodzony plik. Jednak wnikliwa analiza pokazała, że jest to nowatorska metoda ukrywania komend batch i power shell.

Eksperci ds. zabezpieczeń firmy G DATA zidentyfikowali i przebadali pierwsze niekontrolowane wystąpienie downloadera złośliwego oprogramowania zaciemnionego przy użyciu niestosowanej dotąd metody. Komendy batch i power shell zostały ukryte w taki sposób, by na pierwszy rzut oka nie byli w stanie ich zidentyfikować nawet doświadczeni analitycy. Twórcy posługują się technikami obfuskacji, by w ten sposób opóźnić dotarcie do kodu.
- Do tej pory nie natknęliśmy się na niekontrolowane złośliwe oprogramowanie, które wykorzystywałoby ten sposób obfuskacji - mówi Sascha Curylo, analityk z firmy G DATA. - Gdy po raz pierwszy przyjrzeliśmy się próbce, pomyśleliśmy, że niepoprawnie wyodrębniliśmy plik. Dopiero szczegółowa analiza pozwoliła nam na zidentyfikowanie ukrytych komend - dodaje ekspert.
Curylo opowiada, że na pierwszy rzut oka wyodrębniony kod przypomina przypadkowy ciąg znaków. Jednak wiele spacji, przecinków i innych znaków nie jest w ogóle interpretowanych przez linię komend Windowsa i można je usunąć bez żadnych skutków. Po podjęciu takiego kroku analitycy zyskują większą możliwość interpretacji. Na przykład niektóre elementy powtarzające się w długich ciągach pokazały, że docelowo otrzymywany jest URL, z którym następuje kontakt w celu uzyskania dalszych instrukcji.

Komendy są ukrywane z wykorzystaniem „DOSfuskacji”

Wnikliwa analiza wykazała, że downloader złośliwego oprogramowania korzysta z nowej metody, by ukrywać faktyczne złośliwe oprogramowanie. Po raz pierwszy metodę tę opisał Daniel Bohan, badacz zajmujący się kwestią zabezpieczeń, który posłużył się terminem Dosfuskacji. Do tworzenia sekwencji komend z pojedynczych liter wykorzystuje się substringi i liczby. Do tej pory jednak nie wykryto przykładu złośliwego oprogramowania, który wykorzystywałby tę metodę do przeprowadzania aktywnych ataków.
Próbka analizowana przez firmę G DATA została przesłana przez klienta pod nazwą Rechnung-Details-DBH[przypadkowa sekwencja liczb].doc. Virus Total jest w posiadaniu wielu innych nazw dokumentów z tym samym złośliwym oprogramowaniem, a większość z nich stara się naśladować nazwy faktur (Rechnung to również niemieckie słowo oznaczające fakturę). Nasz przykładowy plik Word tworzy makro zawierające dalszy bardziej zaciemniony kod.

W dalszej kolejności makro uruchamia zaciemniony kod batch, co prowadzi do otwarcia linii komend i przejęcia nad nią kontroli. W tym momencie uruchamia się downloader powershell, a inny downloader o nazwie Emotet zostaje pobrany. Początkowo ten przykład złośliwego oprogramowania wykorzystywany był jako koń trojański w systemach bankowych, ale z czasem przekształcił się w downloader modułowy oraz wykradający informacje. Faktyczny payload wykorzystany w bieżącym ataku to inny przykład złośliwego oprogramowania nazwany Trickbot, który odpowiada głównie za ataki na systemy bankowości internetowej. Trickbot jest pobierany za pośrednictwem złośliwego oprogramowania Emotet.
Informacja dla badaczy:
SHA256: 880dbab81729e3cd7cd1bd64023de55f2a6ac4e0d08ebbf2b30722d06933c8a8
MD5: 41ce357e792fdbc426609aa1dbc8416a

Czym jest obfuskacja?

Termin obfuskacja (zaciemnienie) odwołuje się do różnego rodzaju technik wykorzystywanych do modyfikowania kodu źródłowego programu w sposób, który sprawia, że jest on trudny do rozszyfrowania dla analityków. W tym wypadku złośliwe oprogramowanie nie jest również łatwo wykrywane przez zautomatyzowane analizy. Techniką wykorzystywaną do zaciemniania kodu jest na przykład zamienianie jednych liter innymi, jak również szyfrowanie poszczególnych komponentów programu lub plików.

Znajdziesz mnie:

Subscribe on YouTube