Το κακόβουλο λογισμικό StyleServ Λειτουργεί ως Backdoor

Το StyleServ ταξινομείται ως κακόβουλο λογισμικό τύπου backdoor, το οποίο εμπίπτει σε μια κατηγορία κακόβουλων προγραμμάτων που έχουν σχεδιαστεί για να προετοιμάσουν ένα σύστημα για περαιτέρω διείσδυση ή να εκτελέσουν ένα δεύτερο στάδιο μόλυνσης. Αν και ο ακριβής σκοπός του StyleServ παραμένει ασαφής αυτή τη στιγμή, είναι πολύ πιθανό να χρησιμεύσει ως προκαταρκτικό εργαλείο για τη διευκόλυνση μεταγενέστερων λοιμώξεων.

Όπως αναφέρθηκε προηγουμένως, η ακριβής λειτουργικότητα του StyleServ παραμένει αβέβαιη από τη στιγμή της παρούσας αναφοράς. Ωστόσο, είναι πιθανό αυτό το κακόβουλο λογισμικό να χρησιμοποιείται για τη σάρωση δικτύων στα οποία έχει διεισδύσει, αναζητώντας πληροφορίες που μπορούν να βοηθήσουν στην προώθηση της επίθεσης, όπως ο εντοπισμός υφιστάμενων τρωτών σημείων εντός του στόχου.

Είναι σημαντικό να τονιστεί ότι τέτοια εργαλεία χρησιμοποιούνται συνήθως σε ευέλικτες, στοχευμένες επιθέσεις που εξαρτώνται από τον συγκεκριμένο στόχο και τις ευπάθειες ασφαλείας ή την έλλειψή τους.

Οι μολύνσεις StyleServ είναι γνωστό ότι χρησιμοποιούν την τεχνική πλευρικής φόρτωσης DLL. Αυτή η τεχνική αξιοποιεί τον μηχανισμό παραγγελίας αναζήτησης DLL των Windows για να εκμεταλλευτεί ένα νόμιμο πρόγραμμα για την εκτέλεση ενός κακόβουλου ωφέλιμου φορτίου, όπως το StyleServ.

Αυτή η κερκόπορτα χρησιμοποιείται σε παθητικές επιθέσεις που περιλαμβάνουν παρακολούθηση συστήματος, η οποία μπορεί να περιλαμβάνει δραστηριότητες όπως η σάρωση για τρωτά σημεία και οι ανοιχτές θύρες. Ορισμένες παθητικές επιθέσεις απαιτούν ελάχιστη αλληλεπίδραση με το στοχευμένο σύστημα, ενώ άλλες συμμετέχουν σε ενεργή αναγνώριση. Ένα παράδειγμα του τελευταίου είναι η σάρωση θυρών, με στόχο τη συλλογή πληροφοριών σχετικά με τον τρόπο λειτουργίας ενός δικτύου, με έμφαση στον εντοπισμό πιθανών αδύναμων σημείων και διαδρομών για βαθύτερη διείσδυση.

Τρόπος λειτουργίας του StyleServ

Στις μολύνσεις του StyleServ, μόλις ενεργοποιηθεί το DLL, εκκινεί πέντε νήματα, το καθένα εκχωρημένο σε διαφορετική θύρα. Αυτά τα νήματα προσπαθούν περιοδικά να αποκτήσουν πρόσβαση σε ένα αρχείο με το όνομα "stylers.bin" σε διαστήματα 60 δευτερολέπτων. Η νομιμότητα του αρχείου προσδιορίζεται με βάση τη διαθεσιμότητά του και εάν πληροί ορισμένα κριτήρια.

Εάν το αρχείο θεωρείται έγκυρο, χρησιμοποιείται σε αιτήματα δικτύου από τα επόμενα νήματα. Τα νήματα χρησιμεύουν κυρίως ως κρυπτογραφημένες εκδόσεις του "stylers.bin" και λειτουργούν ως υποδοχείς για απομακρυσμένες συνδέσεις, παρακολουθώντας τις συμπεριφορές υποδοχής δικτύου.

Είναι σημαντικό να σημειωθεί ότι το StyleServ παρουσιάζει μια αδύναμη σύνδεση με την ομάδα κακόβουλου λογισμικού Cur. ένα δείγμα αυτής της κερκόπορτας δόθηκε από τον ίδιο χρήστη που ανέβασε μια παραλλαγή του προγράμματος φόρτωσης CurLu. Εάν επιβεβαιωθεί η εικασία σχετικά με τη σύνδεση του StyleServ με μια μόλυνση CurLu, θα δημιουργηθεί μια σύνδεση μεταξύ του StyleServ και του ίδιου παράγοντα απειλής χρησιμοποιώντας προγράμματα που συνδέονται με την οικογένεια κακόβουλου λογισμικού Cur.