ΑρχικήSecurityHive ransomware: Χρησιμοποιεί νέο τέχνασμα για να κρύψει το payload

Hive ransomware: Χρησιμοποιεί νέο τέχνασμα για να κρύψει το payload

Οι αναλυτές απειλών ανακάλυψαν μια νέα τεχνική obfuscation που χρησιμοποιείται από τη συμμορία Hive ransomware, η οποία περιλαμβάνει διευθύνσεις IPv4 και μια σειρά από μετατροπές που τελικά οδηγούν στη λήψη ενός beacon Cobalt Strike.

Δείτε επίσης: SunCrypt ransomware: Νέα έκδοση με περισσότερες δυνατότητες

Hive ransomware

Το code obfuscation είναι αυτό που βοηθά τους απειλητικούς φορείς να αποκρύψουν την κακόβουλη φύση του κώδικά τους από ανθρώπους αναθεωρητές ή λογισμικό ασφαλείας, ώστε να μπορούν να αποφύγουν τον εντοπισμό.

Υπάρχουν πολλοί τρόποι για να επιτευχθεί το obfuscation, ο καθένας με τα δικά του πλεονεκτήματα και μειονεκτήματα, αλλά ένας νέος που ανακαλύφθηκε σε μια απόκριση περιστατικού που περιλαμβάνει το Hive ransomware δείχνει ότι οι adversaries βρίσκουν νέους, πιο κρυφούς τρόπους για να επιτύχουν τον στόχο τους.

#secnews #comet 

Ο κομήτης C/2024 S1 μπορεί να είναι ορατός με γυμνό μάτι. Καθ' όλη τη διάρκεια του πρώτου μισού του Οκτωβρίου, ένας εξαιρετικά φωτεινός κομήτης, γνωστός ως Tsuchinshan-ATLAS, θα είναι ορατός με γυμνό μάτι σε μέρη του ουρανού αργά τη νύχτα και νωρίς το πρωί. Ωστόσο, ένας ακόμα κομήτης που ανακαλύφθηκε πιο πρόσφατα, μπορεί επίσης να είναι ορατός και είναι γνωστός ως C/2024 S1. Οι αστρονόμοι μόλις ανακάλυψαν έναν δεύτερο κομήτη, τον C/2024 S1 (ATLAS), ο οποίος θα κάνει επίσης την πλησιέστερη προσέγγισή του στον πλανήτη μας αυτόν τον μήνα και ενδεχομένως να είναι ορατός χωρίς τηλεσκόπιο.

00:00 Εισαγωγή
00:34 Νέος κομήτης
01:09 Λίγες πληροφορίες
01:29 Πλησιέστερη προσέγγιση

Μάθετε περισσότερα: https://www.secnews.gr/624490/komitis-c-2024-s1-mporouse-einai-oratos-gimno-mati/

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #comet

Ο κομήτης C/2024 S1 μπορεί να είναι ορατός με γυμνό μάτι. Καθ' όλη τη διάρκεια του πρώτου μισού του Οκτωβρίου, ένας εξαιρετικά φωτεινός κομήτης, γνωστός ως Tsuchinshan-ATLAS, θα είναι ορατός με γυμνό μάτι σε μέρη του ουρανού αργά τη νύχτα και νωρίς το πρωί. Ωστόσο, ένας ακόμα κομήτης που ανακαλύφθηκε πιο πρόσφατα, μπορεί επίσης να είναι ορατός και είναι γνωστός ως C/2024 S1. Οι αστρονόμοι μόλις ανακάλυψαν έναν δεύτερο κομήτη, τον C/2024 S1 (ATLAS), ο οποίος θα κάνει επίσης την πλησιέστερη προσέγγισή του στον πλανήτη μας αυτόν τον μήνα και ενδεχομένως να είναι ορατός χωρίς τηλεσκόπιο.

00:00 Εισαγωγή
00:34 Νέος κομήτης
01:09 Λίγες πληροφορίες
01:29 Πλησιέστερη προσέγγιση

Μάθετε περισσότερα: https://www.secnews.gr/624490/komitis-c-2024-s1-mporouse-einai-oratos-gimno-mati/

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LmN1MVA2VDBYcVJJ

Ο κομήτης C/2024 S1 μπορεί να είναι ορατός με γυμνό μάτι

SecNewsTV 21 hours ago

Οι αναλυτές της Sentinel Labs αναφέρουν τη νέα τεχνική obfuscation, την οποία ονομάζουν «IPfuscation».

Δείτε επίσης: Python ransomware στοχεύει το εργαλείο Jupyter Notebook

Από IP σε shellcode

Οι αναλυτές ανακάλυψαν τη νέα τεχνική κατά την ανάλυση των εκτελέσιμων αρχείων των Windows 64-bit, καθένα από τα οποία περιείχε ένα payload που παρέχει το Cobalt Strike.

Το ίδιο το payload είναι ασαφές λαμβάνοντας τη μορφή μιας συστοιχίας διευθύνσεων IPv4 ASCII, επομένως μοιάζει με μια αβλαβή λίστα διευθύνσεων IP.

Στο πλαίσιο της ανάλυσης malware, η λίστα μπορεί ακόμη και να εκληφθεί εσφαλμένα ως hard-coded C2 communication information.

Hive ransomware

Όταν το αρχείο μεταβιβάζεται σε μια συνάρτηση μετατροπής (ip2string.h) που μεταφράζει το string σε binary, εμφανίζεται μια μάζα του shellcode.

Δείτε επίσης: Shutterfly: Παραβίαση δεδομένων μετά από επίθεση ransomware Conti

Μόλις ολοκληρωθεί αυτό το βήμα, το malware εκτελεί το shellcode είτε μέσω απευθείας SYSCALL είτε μέσω εκτέλεσης proxying μέσω callback στον user interface language enumerator (winnls.h), με αποτέλεσμα ένα τυπικό σταδιακό σύστημα Cobalt Strike.

Ακολουθεί ένα παράδειγμα από την έκθεση της Sentinel Labs:

Το πρώτο hardcoded IP-formatted string είναι ένα string ASCII “252.72.131.228”, το οποίο έχει binary representation 0xE48348FC (big endian) και η επόμενη “IP” που θα μεταφραστεί είναι “240.232.200.0”, η οποία έχει binary representation του 0xC8E8F0.

Η αποσυναρμολόγηση αυτών των “binary representations” δείχνει την έναρξη του shellcode που δημιουργείται από κοινά penetration testing frameworks.

Οι αναλυτές ανακάλυψαν πρόσθετες παραλλαγές IPfuscation που αντί για διευθύνσεις IPv4 χρησιμοποιούν διευθύνσεις IPv6, UUID και MAC – όλες λειτουργούν με σχεδόν πανομοιότυπο τρόπο με αυτό που περιγράψαμε παραπάνω.

Το πλεονέκτημα από αυτό είναι ότι το να βασίζεσαι αποκλειστικά σε στατικές υπογραφές για τον εντοπισμό κακόβουλου ωφέλιμου φορτίου δεν αρκεί.

Η ανίχνευση συμπεριφοράς, η ανάλυση με τη βοήθεια τεχνητής νοημοσύνης και η ολιστική ασφάλεια endpoint που συγκεντρώνει ύποπτα στοιχεία από πολλά σημεία θα είχαν καλύτερες πιθανότητες να σηκώσουν το lid του IPfuscation, λένε οι ερευνητές.

Η ομάδα απόκρισης περιστατικών της Sentinel Labs παρακολουθεί συνεχώς τακτικές, τεχνικές και τεχνουργήματα πρώιμης χρήσης, με το IPfuscation να είναι απλώς η πιο πρόσφατη τέτοια τεχνική που αναπτύσσεται από δημιουργούς κακόβουλου λογισμικού. Τέτοιες τεχνικές αποδεικνύουν ότι πολλές φορές μια δημιουργική και έξυπνη προσέγγιση μπορεί να είναι εξίσου αποτελεσματική με μια πολύ εξελιγμένη και προηγμένη προσέγγιση, ιδιαίτερα όταν η άμυνα της επιχείρησης βασίζεται σε εργαλεία ασφαλείας που βασίζονται σε στατικές υπογραφές και όχι σε ανίχνευση συμπεριφοράς.

Πηγή πληροφοριών: bleepingcomputer.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS