„DownEx“ kenkėjiška programa, naudojama šnipinėjimo kampanijoje

Rumunijos kibernetinio saugumo tyrinėtojai aptiko naujo tipo kenkėjišką programą, pavadintą DownEx.

Jis naudojamas sudėtingoje šnipinėjimo kampanijoje, kurios taikinys yra vyriausybinės organizacijos Centrinėje Azijoje, ir yra įrodymų, kad dalyvauja Rusijoje įsikūrę grėsmės veikėjai. Išpuoliai vykdomi per sukčiavimo el. laiškus, kuriuose yra įstrigęs krovinys, užmaskuotas kaip „Microsoft Word“ failas.

Atidarius priedą, rodomas apgaulės dokumentas, o fone veikia kenkėjiška HTML programa. Šis HTA failas skirtas užmegzti ryšį su nuotoliniu komandų ir valdymo serveriu, kad būtų galima gauti naujos pakopos naudingąją apkrovą, kuri, kaip manoma, yra užpakalinės durys, užtikrinančios patvarumą. Užpuolikai taip pat naudoja pasirinktinius įrankius veiklai po išnaudojimo, įskaitant C/C++ pagrindu sukurtus dvejetainius failus, skirtus tinklo ištekliams išvardyti, Python scenarijų, kad gautų instrukcijas pavogti failus, ištrinti kitas kenkėjiškas programas ir užfiksuoti ekrano kopijas, ir C++ pagrįstą kenkėjišką programą, vadinamą DownEx. išfiltruoti failus į C2 serverį.

Taip pat buvo atrasti du kiti „DownEx“ variantai. Tyrėjai taip pat pažymėjo, kad tai yra ataka be failų, o tai reiškia, kad kenkėjiškas scenarijus egzistuoja tik atmintyje ir niekada nepatenka į aukos diskus.

Kas yra be failų kenkėjiška programa ir kodėl ji ypač pavojinga?

Kenkėjiška programa be failų yra kenkėjiškos programinės įrangos rūšis, kuri veikia kompiuterio atmintyje nepalikdama jokių pėdsakų standžiajame diske. Dėl to ypač sunku aptikti ir pašalinti naudojant tradicinę antivirusinę programinę įrangą, nes nėra nuskaitytų failų. Užuot pasikliaujant failu ar vykdomąja programa, kenkėjiška programa be failų dažnai pristatoma naudojant tokius metodus kaip socialinė inžinerija, išnaudojimai arba kenkėjiškos makrokomandos dokumentuose.

Viena iš pagrindinių kenkėjiškų programų be failų savybių yra ta, kad ji naudoja teisėtas programas arba įrankius, jau esančius sistemoje, pvz., PowerShell arba Windows Management Instrumentation (WMI), kad galėtų vykdyti savo kenkėjišką veiklą. Tokiu būdu kenkėjiška programa be failų gali susilieti su teisėta sistemos veikla ir išvengti tradicinės antivirusinės programinės įrangos aptikimo.

Kita priežastis, kodėl kenkėjiška programa be failų yra ypač pavojinga, yra ta, kad ji dažnai gali apeiti galinių taškų apsaugos priemones, tokias kaip ugniasienės, įsibrovimų aptikimo ir prevencijos sistemos (IDS/IPS) ir kitos saugos priemonės, kurios priklauso nuo failų parašų arba šablonų derinimo algoritmų. Be to, kadangi jis nieko neįrašo į diską, jis gali likti nepastebimas ilgesnį laiką ir turi didesnę galimybę pasiekti savo tikslus prieš jį aptinkant.

Be failų kenkėjiškos programos dažnai naudojamos tikslinėms atakoms, pvz., prieš finansines institucijas ar kitus didelės vertės objektus, kurių tikslas yra gauti prieigą prie jautrios informacijos arba sistemų. Jis taip pat gali būti naudojamas platesnėms atakoms, tokioms kaip išpirkos reikalaujančios programos, kai užpuolikai siekia užkrėsti kuo daugiau sistemų.