Hackers διασπείρουν περίπλοκο malware σε παρόχους διαχειριζόμενων υπηρεσιών (MSP) αναπτύσσοντας πολλαπλές και πολύπλοκες τεχνικές απόκρυψης για να αποφύγουν τον εντοπισμό, δήλωσε η Huntress Labs σε ένα ενημερωμένο blog post.
Οι MSPs είναι ιδιαίτερα ελκυστικοί στόχοι για τους hackers, επειδή συνήθως συνεργάζονται με πολλούς πελάτες, οπότε ένα malware μπορεί ταυτόχρονα να σαρώσει πολλά πιθανά θύματα. Η Huntress, η οποία παρέχει υπηρεσίες διαχείρισης εντοπισμού και απόκρισης (MDR) μέσω MSP, αποκάλυψε για πρώτη φορά τις διαδικασίες του κακόβουλου λογισμικού σε ένα blog που δημοσιεύτηκε τον περασμένο Ιούνιο. Τα επόμενα blogs επικεντρώθηκαν στο πώς το κακόβουλο λογισμικό καλύπτει τις ενέργειές του.
Με την πρώτη ματιά, το malware έμοιαζε με ένα αρχείο καταγραφής για μια εφαρμογή – έτσι έκρυβε τη δραστηριότητά του – αλλά εξετάζοντας το προσεκτικά ανακαλύψαμε ότι το αρχείο “σχετίζεται με μια κακόβουλη βάση που ανακαλύψαμε”, ανέφερε ο John Ferrell, συνιδρυτής της Huntress, στην αρχική ανάρτηση. “Οι συγγραφείς του κακόβουλου λογισμικού χρησιμοποίησαν διάφορα κόλπα για να κρυφτούν, συμπεριλαμβανομένης της μετονομασίας νόμιμων αρχείων, της μεταμφιέσεως ως υπάρχουσας προγραμματισμένης εργασίας και της χρήσης κακόβουλου payload που είναι αποθηκευμένο σε ένα αρχείο που έχει δημιουργηθεί για να μοιάζει με αρχείο καταγραφής σφαλμάτων.”
Μια πιο προσεκτική ματιά
Αστεροειδής χτύπησε τη Γη λίγες ώρες μετά τον εντοπισμό του
Google: Ανίχνευση απατών-κλήσεων και κακόβουλων apps μέσω AI
Ο Elon Musk εντάχθηκε στην κυβέρνηση Trump
Το σφάλμα όπως ο John Hammond – ανώτερος ερευνητής ασφαλείας της Huntress – δήλωσε στο ενημερωμένο blog είναι ένα “multi-stager, multi-payload”. Ενώ τα malware payloads που παραδίδονται σταδιακά δεν είναι κάτι ασυνήθιστο, το επίπεδο που φτάνει στο συγκεκριμένο malware για να αποφευχθεί η ανίχνευση του είναι μοναδικό. Επίσης είναι αρκετά έξυπνο για να μπορεί να περνά απαρατήρητο από ένα τυπικό πρόγραμμα antivirus ή endpoint, είπε.
Ένα αρχικό payload παραδίδεται με τη χρήση αυθεντικών «Windows binaries» για την εξαγωγή και την εκτέλεση ενός νέου κώδικα PowerShell που περιέχει ένα άλλο κομμάτι συγκαλυμμένων και κωδικοποιημένων δεδομένων για την ανάκτηση ενός δεύτερου payload χρησιμοποιώντας το DNS της Google μέσω της υπηρεσίας HTTPS. «Η χρήση DNS μέσω HTTP ως μέσο για τη λήψη άλλου malware payload είναι ένα πολύ έξυπνο τέχνασμα», ανέφερε ο Hammond. Για να παραδώσει το τελικό payload, ο κώδικας του malware φτάνει σε έναν εξωτερικό server που εγκαθιστά το τελικό στέλεχος εντολών και ελέγχου για να δώσει στον hacker τον έλεγχο του στοχευμένου συστήματος.