A StyleServ Malware Backdoorként működik
A StyleServ a hátsó ajtó típusú rosszindulatú programnak minősül, amely a rosszindulatú programok kategóriájába tartozik, amelyek célja a rendszer előkészítése a további beszivárgásra vagy a fertőzés második szakaszának végrehajtására. Noha a StyleServ pontos célja egyelőre tisztázatlan, nagyon valószínű, hogy előzetes eszközként szolgál a későbbi fertőzések elősegítésére.
Amint azt korábban említettük, a StyleServ pontos működése e jelentés időpontjában bizonytalan maradt. Mindazonáltal valószínű, hogy ezt a rosszindulatú programot arra használják, hogy átvizsgálják azokat a hálózatokat, amelyekbe beszivárgott, olyan információkat keresve, amelyek segíthetik a támadást, például a célponton belüli meglévő sebezhetőségek azonosítását.
Kulcsfontosságú hangsúlyozni, hogy az ilyen eszközöket gyakran alkalmazzák sokoldalú, célzott támadások során, amelyek az adott célponttól és annak biztonsági sebezhetőségétől vagy hiányától függenek.
A StyleServ fertőzésekről ismert, hogy a DLL oldalbetöltési technikát alkalmazzák. Ez a technika a Windows DLL keresési sorrendjének mechanizmusát használja fel, hogy kihasználjon egy legitim programot egy rosszindulatú rakomány végrehajtására, mint például a StyleServ.
Ezt a hátsó ajtót olyan passzív támadásoknál alkalmazzák, amelyek rendszerfigyeléssel járnak, és olyan tevékenységeket foglalhatnak magukban, mint a sebezhetőségek és a nyitott portok keresése. Néhány passzív támadás minimális interakciót igényel a célzott rendszerrel, míg mások aktív felderítést végeznek. Ez utóbbira példa a portszkennelés, amelynek célja a hálózat működésével kapcsolatos információk gyűjtése, a potenciális gyenge pontok és a mélyebb beszivárgás útjainak azonosítására összpontosítva.
A StyleServ működési módja
A StyleServ fertőzéseiben a DLL aktiválása után öt szálat indít, amelyek mindegyike más-más porthoz van hozzárendelve. Ezek a szálak 60 másodperces időközönként megkísérlik elérni a "stylers.bin" nevű fájlt. A fájl legitimitását az elérhetősége és az alapján határozzák meg, hogy megfelel-e bizonyos feltételeknek.
Ha a fájl érvényesnek tekinthető, a következő szálak hálózati kérésekben használják. A szálak elsősorban a "stylers.bin" titkosított változataiként szolgálnak, és a távoli kapcsolatok receptoraiként működnek, figyelve a hálózati aljzatok viselkedését.
Fontos megjegyezni, hogy a StyleServ gyenge kapcsolatot mutat a Cur malware csoporttal; ennek a hátsó ajtónak a mintáját ugyanaz a felhasználó biztosította, aki feltöltötte a CurLu betöltő egy változatát. Ha beigazolódik a StyleServ CurLu fertőzéssel való kapcsolatára vonatkozó spekuláció, akkor ez kapcsolatot létesítene a StyleServ és ugyanazon fenyegetés szereplője között, a Cur malware családhoz kapcsolódó programokat használva.