Těžící malware je stále zákeřnější

Těžící malware je stále zákeřnější

Za obrovským nárůstem malwaru zaměřeného na těžení kryptoměn stojí nejen snaha získat prostřednictvím tohoto typu hrozby velký zisk, ale také schopnost zůstat v napadeném systému neodhalený. Koncept skrytého a jen obtížně odhalitelného malwaru je zajímavý pro mnohé útočníky. V důsledku toho vzniká kombinace stále nových skrývajících technik. Příkladem může být malware detekovaný jako Coinminer.Win32.MALXMR.TIAOODAM, jehož součástí je hned několik postupně aktivovaných „mlžících“ mechanismů.

Způsob nákazy probíhá dle následujícího obrázku:

Klepněte pro větší obrázek

Malware dorazí do potenciálně zneužitelného počítače jako MSI balíček pro Windows Installer Service – již tento samotný fakt stojí za pozornost, protože jde o službu oprávněnou k instalaci softwaru do operačního systému. Použití zcela důvěryhodné součásti systému Windows způsobuje, že daný malware vypadané méně podezřele a má větší šanci obejít některé bezpečnostní filtry.

Analýza vzorku ukázala, že malware sám sebe nainstaluje do adresáře:

%AppData%\Roaming\Microsoft\Windows\Template\FileZilla Server

Pokud by tento adresář ještě neexistoval, dojde k jeho automatickému vytvoření. Obsahem tohoto adresáře bude několik různých souborů sloužících jako součást „ochranného“ mechanismu, konkrétně jde o:

  • f.bat – dávkový soubor se skriptem, který má za úkol zastavit aktuálně spuštěné anti-malwarové programy
  • ex.exe – dekomprimovací nástroj určený pro rozbalení dalšího „instalačního“ souboru: icon.ico
  • icon.ico – soubor ve formátu zip, který je chráněný heslem a tváří se jako soubor s ikonami. Jenže tomu tak ve skutečnosti není a jeho rozbalením se v počítači oběti objeví dva další soubory (viz prostřední třetina výše uvedeného obrázku):
    • default.ocx – modul zavaděče zodpovědný za dešifrování a instalaci modulu pro těžení kryptoměny
    • data.bin – šifrovaný soubor s modulem pro těžení přeložený ve vývojovém prostředí Delphi a komprimovaný v univerzálním formátu pro kompresi spustitelných souborů UPX

V další části instalačního procesu dojde k vytvoření kopií knihovny jádra operačního systému ntdll.dll a pro komponenty uživatelského rozhraní user32.dll – cílem je s největší pravděpodobností ještě o něco ztížit detekci volání funkcí aplikačního rozhraní malwaru. Následuje pak vytvoření konfiguračního souboru včetně nastavení pro samotný těžící modul. Zajímavostí jsou dialogy zobrazované během instalace, které obsahují texty v azbuce a nikoli v angličtině – tato zdánlivá drobnost by mohla být vodítkem k tomu, z jaké oblasti malware vlastně pochází.

Zajímavý je i další postup – dojde k vytvoření tří nezávislých procesů hostitele služby pro zavedení kódu s tím, že první dva budou zastávat roli hlídacích psů. Ti mají na starosti případné opětovné stažení instalačního balíčku v případě narušení činnosti malwaru. A třešinkou na dortu je pak samo-destrukční mechanismus, který má ztížit detekci i následnou analýzu. Je zcela nezpochybnitelné – i s ohledem na použití oblíbeného nástroje pro tvorbu instalačních balíčků WiX – že autoři tohoto těžícího malwaru vyvinuli k co nejlepšímu ukrytí svého díla skutečně maximální úsilí.

Z uvedeného popisu je patrná zákeřnost, která je natolik účinná, že opravdu vede ke ztížení detekce běžnými prostředky. Navíc počítačoví zločinci své „krycí“ postupy neustále zdokonalují a jedinou možností tak je využívat výkonné bezpečnostní nástroje a řešení. Například Trend Micro pro ochranu koncových bodů využívá mimo jiné řešení Smart Protection Suites a Worry-Free Business Security, která mohou chránit uživatele a firmy před hrozbami detekováním škodlivých souborů a zpráv a také blokováním všech souvisejících podezřelých URL adres. Nebo řešení Trend Micro ™ Deep Discovery™, které má e-mailovou inspekční vrstvu chránící podniky tím, že detekuje škodlivé přílohy a adresy URL.

Nejnovější generace řešení pro ochranu fyzických, virtuálních i cloudových zařízení Trend Micro XGen je účinná vůči všem druhům hrozeb, a to včetně těch, které obchází tradiční bezpečnostní mechanismy. Poradí si tak i s těžícím malwarem nebo šifrujícím ransomwarem. Ke své činnosti využívá řadu pokročilých technologií včetně strojového učení, testování ve vyhrazeném bezpečnostním prostoru (tzv. sandboxing) apod. V každém případě je důležité vnímat moderní hrozby jako reálné a nepodlehnout falešnému pocitu bezpečí.

Další článek: YouTube vytáhnul do boje proti reklamám ve videích odpůrců očkování


Určitě si přečtěte

Jak jsme je mohli používat? V těchto věcech Windows 10 předčí staré Sedmičky

Jak jsme je mohli používat? V těchto věcech Windows 10 předčí staré Sedmičky

** Windows 10 nejsou jen moderní aplikace, ale i spousta vychytávek a funkcí navíc. ** U většiny z nich si ani neuvědomujeme, že byly někdy jinak. ** Některé věci jsou zcela nové, jiné zase pocházejí už z Windows 8.

Vladislav Kluska | 228

Co pořídit k počítači: tipy na osvědčené klávesnice, sluchátka a další příslušenství

Co pořídit k počítači: tipy na osvědčené klávesnice, sluchátka a další příslušenství

** Toto jsou tipy Živě.cz na příslušenství k počítači, se kterým neuděláte chybu ** Klávesnice, myši, tiskárny, sluchátka... ** Vybíráme jak příslušenství na běžnou práci, tak na hraní her

David Polesný | 26

Nejděravější firmy a produkty roku 2018: Debian, Google, Android a Ubuntu

Nejděravější firmy a produkty roku 2018: Debian, Google, Android a Ubuntu

** Když expert objeví novou zranitelnost, zaregistruje ji v databázi CVE ** Web CVE Details z ní zpracovává skvělé statistiky ** Nejvíce hlášení se loni dočkal Debian, Google a Microsoft

Jakub Čížek | 90

Porno insider: Jak virtuální realita vstupuje do filmů pro dospělé

Porno insider: Jak virtuální realita vstupuje do filmů pro dospělé

** Pornografie údajně představuje třetinu internetové obsahu a je technologický tahounem ** Do erotického obsahu postupně zasahuje i virtuální realita ** Kromě vizuálního vjemu se pracuje také na virtuálním uspokojení toho hmatového

Jan Dudek | 33