Malware har blivit svårare att upptäcka. Vad är modulär skadlig programvara, och hur du stoppar det med att göra kaos på din dator?

Modular Malware: The New Stealthy Attack Steling Your Data

Annons Malware finns i alla former och storlekar. Dessutom har sofistikeringen ökat betydligt under åren. Angriparna inser att det inte alltid är det mest effektiva sättet att försöka anpassa varje aspekt av deras skadliga paket till en enda nyttolast. Med tiden har skadlig kod blivit modulär. Det v

Annons

Malware finns i alla former och storlekar. Dessutom har sofistikeringen ökat betydligt under åren. Angriparna inser att det inte alltid är det mest effektiva sättet att försöka anpassa varje aspekt av deras skadliga paket till en enda nyttolast.

Med tiden har skadlig kod blivit modulär. Det vill säga vissa malware-varianter kan använda olika moduler för att ändra hur de påverkar ett målsystem. Så, vad är modulär skadlig programvara och hur fungerar det?

Vad är modulprogram?

Modular malware är ett avancerat hot som attackerar ett system i olika stadier. Istället för att spränga genom ytterdörren tar modulär malware ett subtilare tillvägagångssätt.

Det gör det genom att bara installera de väsentliga komponenterna först. I stället för att orsaka en fanfare och varna användare för dess närvaro, scouts den första modulen system- och nätverkssäkerhet; vem som är ansvarig, vilka skydd som körs, var skadlig programvara kan hitta sårbarheter, vilka utnyttjande har bästa chans att lyckas och så vidare.

Efter att ha lyckats hitta lokala miljöer kan den moderna skadliga modulen ringa hem till sin kommando- och kontrollserver (C2) -server. C2 kan sedan skicka tillbaka ytterligare instruktioner tillsammans med ytterligare skadliga moduler för att dra fördel av den specifika miljö som skadlig programvara arbetar i.

Modular malware har flera fördelar i jämförelse med malware som paketerar all dess funktionalitet i en enda nyttolast.

  • Malware-författaren kan snabbt ändra malware-signaturen för att undvika antivirusprogram och andra säkerhetsprogram.
  • Modular malware tillåter omfattande funktionalitet i olika miljöer. I det kan författare reagera på specifika mål, eller alternativt öronmärka specifika moduler för användning i vissa miljöer.
  • De initiala modulerna är små och något lättare att dölja.
  • Genom att kombinera flera malware-moduler hålls säkerhetsforskare att gissa vad som kommer att komma nästa.

Modular malware är inte ett plötsligt nytt hot. Malware-utvecklare har utnyttjat modulära malware-program effektivt under lång tid. Skillnaden är att säkerhetsforskare stöter på mer modulär skadlig programvara i ett brett spektrum av situationer. Forskare har också upptäckt det enorma Necurs botnet (beryktat för att distribuera Dridex och Locky ransomware-varianter) som distribuerar modulära nyttolaster av skadlig programvara. (Vad är ändå ett botnet? Vad är ett botnet och är din dator del av en? Vad är ett botnet och är din dator del av ett? Botnät är en viktig källa till skadlig programvara, ransomware, spam och mer. Men vad är ett botnet? Hur uppstår de? Vem styr dem? Och hur kan vi stoppa dem? Läs mer)

Modulära exempel på skadlig programvara

Det finns några mycket intressanta modulära exempel på skadlig programvara. Här är några som du kan tänka på.

VPNFilter

VPNFilter är en nyligen skadlig variant som attackerar routrar och Internet of Things (IoT) -enheter. Malware fungerar i tre steg.

Det första stegets skadliga program kontaktar en kommando- och kontrollserver för att ladda ner steg två-modulen. Modulen i det andra steget samlar in data, kör kommandon och kan störa enhetshantering (inklusive möjligheten att ”tegla” en router, IoT eller NAS-enhet). Det andra steget kan också ladda ner moduler från tredje steg, som fungerar som plugins för det andra steget. Steg tre-moduler inkluderar en paketfärgare för SCADA-trafik, en paketinjektionsmodul och en modul som gör att steg 2-malware kan kommunicera med Tor-nätverket.

Du kan lära dig mer om VPNFilter, var den kom ifrån och hur du hittar den här.

Modular Malware: The New Stealthy Attack Stealing Your Data vpnfilter malware server server infrastruktur

T9000

Palo Alto Networks säkerhetsforskare avslöjade skadlig programvara T9000 (ingen relation till Terminator eller Skynet ... eller är det ?!).

T9000 är ett verktyg för intelligens och datainsamling. När T9000 har installerats låter en angripare "fånga krypterad data, ta skärmdumpar av specifika applikationer och specifikt rikta in sig på Skype-användare", samt Microsoft Office-produktfiler. T9000 kommer med olika moduler designade för att undvika upp till 24 olika säkerhetsprodukter, vilket ändrar sin installationsprocess för att förbli under radaren.

DanaBot

DanaBot är en flerstegs bank-trojan med olika plugins som författaren använder för att utöka sin funktionalitet. (Hur man snabbt och effektivt hanterar trojaner med fjärråtkomst. Hur man enkelt och effektivt hanterar trojaner med fjärråtkomst Hur man enkelt och effektivt hanterar trojaner med fjärråtkomst luktar en RAT? Om du tror att du har smittats av en trojan med fjärråtkomst, du kan lätt bli av med det genom att följa dessa enkla steg. Läs mer) Till exempel, i maj 2018, DanaBot upptäcktes i en serie attacker mot australiska banker. Vid den tiden upptäckte forskare ett paketsnus- och injektionsplugin, ett VNC-fjärrpluggsprogram, ett datainsamlingsplugin och ett Tor-plugin som möjliggör säker kommunikation.

"DanaBot är en bank-trojan, vilket betyder att den nödvändigtvis är geo-inriktad till en viss grad", läser Proofpoint DanaBot-blogginlägget. "Antagande av aktörer i hög volym, men som vi såg i den amerikanska kampanjen föreslår dock aktiv utveckling, geografisk expansion och pågående hotaktörsintresse för skadlig programvara. Malware i sig innehåller ett antal anti-analysfunktioner, såväl som uppdaterade stealer- och fjärrkontrollmoduler, vilket ytterligare ökar dess attraktivitet och användbarhet för hotaktörer. "

Marap, AdvisorsBot och CobInt

Jag kombinerar tre modulära malwarevarianter i ett avsnitt eftersom de fantastiska säkerhetsforskarna på Proofpoint upptäckte alla tre. De modulära malwarevarianterna har likheter men har olika användningsområden. Dessutom utgör CobInt en del av en kampanj för Cobalt Group, en kriminell organisation med koppling till en lång lista över bank- och finansiellt brottslighet.

Marap och AdvisorsBot upptäckte båda målprogram för försvar och nätverkskartläggning och om skadlig programvara skulle ladda ner hela nyttolasten. Om målsystemet är av tillräckligt intresse (t.ex. har värde) kräver skadlig programvara det andra steget av attacken.

Liksom andra modulära skadliga varianter följer Marap, AdvisorsBot och CobInt ett trestegsflöde. Det första steget är vanligtvis ett e-postmeddelande med en infekterad bilaga som bär den första exploateringen. Om exploaten körs begär skadlig programvara omedelbart det andra steget. Det andra steget bär rekognoseringsmodulen som utvärderar målsystemets säkerhetsåtgärder och nätverkslandskap. Om skadlig programvara anser att allt är lämpligt laddas ner den tredje och sista modulen, inklusive den största nyttolasten.

Proofpoint anaylsis av:

  • Marap
  • AdvisorBot (och PoshAdvisor)
  • CobIn

Förödelse

Mayhem är en något äldre modulär skadlig programvariant, som först kommer upp igen 2014. Mayhem är fortfarande ett fantastiskt modulärt skadligt exempel. Den skadliga programvaran, som avslöjats av säkerhetsforskare på Yandex, riktar sig mot Linux- och Unix-webbserver. Det installeras via ett skadligt PHP-skript.

När det har installerats kan skriptet anropa flera plugins som definierar skadlig programvarans slutliga användning.

Plugins inkluderar en brute force-lösenords Cracker som är inriktad på FTP-, WordPress- och Joomla-konton, en webbcrawler för att söka efter andra sårbara servrar och ett verktyg som utnyttjar Heartbleed OpenSLL-sårbarheten.

DiamondFox

Vår sista modulära malwarevariant är också en av de mest kompletta. Det är också en av de mest oroande, av några orsaker.

Orsak en: DiamondFox är ett modulärt botnet som kan säljas på olika underjordiska forum. Potentiella cyberbrottslingar kan köpa det modulära botnetpaketet DiamondFox för att få tillgång till ett brett spektrum av avancerade attackfunktioner. Verktyget uppdateras regelbundet och har, som alla bra onlinetjänster, personlig kundtjänst. (Den har till och med en ändringslogg!)

Orsak två: DiamondFox modulära botnet levereras med en rad plugins. Dessa slås på och av genom en instrumentpanel som inte skulle vara på sin plats som en smart hem-app. Plugins inkluderar skräddarsydda spionageverktyg, referensstjälverktyg, DDoS-verktyg, keyloggers, spam-mailers och till och med en RAM-skrapa.

Varning: Följande video har musik som du kanske eller inte kanske tycker om.

Hur man stoppar en modulär skadlig programattack

För närvarande skyddar inget specifikt verktyg mot en specifik modulär skadlig variant. Vissa modulära skadliga varianter har också geografiskt omfattning. Till exempel finns Marap, AdvisorsBot och CobInt främst i Ryssland och OSS-länder.

Som sagt påpekade Proofpoint-forskarna att trots de nuvarande geografiska begränsningarna, om andra brottslingar ser en sådan etablerad kriminell organisation som använder modulär skadlig programvara, kommer andra säkert att följa efter.

Medvetenhet om hur modulär skadlig kod kommer till ditt system är viktig. Majoriteten använder infekterade e-postbilagor, vanligtvis innehåller ett Microsoft Office-dokument med ett skadligt VBA-skript. Angripare använder den här metoden eftersom det är lätt att skicka infekterade e-postmeddelanden till miljoner potentiella mål. Dessutom är den initiala utnyttjandet liten och lätt förklädd som en Office-fil.

Som alltid, se till att du håller ditt system uppdaterat och överväg att investera i Malwarebytes Premium - det är värt det 5 skäl att uppgradera till Malwarebytes Premium: Ja, det är värt det 5 skäl att uppgradera till Malwarebytes Premium: Ja, det är värt det medan gratisversionen av Malwarebytes är fantastisk, premiumversionen har ett gäng användbara och värdefulla funktioner. Läs mer !

Utforska mer om: Jargon, Malware, Modular Malware, Trojan Horse.