Złośliwe oprogramowanie StyleServ działa jak backdoor
StyleServ jest klasyfikowany jako złośliwe oprogramowanie typu backdoor, które należy do kategorii szkodliwych programów zaprojektowanych w celu przygotowania systemu do dalszej infiltracji lub przeprowadzenia drugiego etapu infekcji. Chociaż dokładny cel StyleServ pozostaje obecnie niejasny, jest wysoce prawdopodobne, że służy on jako wstępne narzędzie ułatwiające późniejsze infekcje.
Jak wspomniano wcześniej, dokładna funkcjonalność StyleServ pozostaje niepewna w chwili sporządzania tego raportu. Niemniej jednak jest prawdopodobne, że to złośliwe oprogramowanie jest wykorzystywane do skanowania sieci, które przeniknęło, w poszukiwaniu informacji, które mogą pomóc w przyspieszeniu ataku, takich jak identyfikacja istniejących luk w zabezpieczeniach celu.
Należy podkreślić, że narzędzia tego typu są powszechnie stosowane we wszechstronnych, ukierunkowanych atakach zależnych od konkretnego celu i jego luk w zabezpieczeniach lub ich braku.
Wiadomo, że infekcje StyleServ wykorzystują technikę bocznego ładowania bibliotek DLL. Technika ta wykorzystuje mechanizm kolejności wyszukiwania bibliotek DLL systemu Windows w celu wykorzystania legalnego programu do wykonania złośliwego ładunku, takiego jak StyleServ.
Ten backdoor jest wykorzystywany w atakach pasywnych obejmujących monitorowanie systemu, które może obejmować takie działania, jak skanowanie pod kątem luk w zabezpieczeniach i otwieranie portów. Niektóre ataki pasywne wymagają minimalnej interakcji z docelowym systemem, podczas gdy inne angażują się w aktywny rozpoznanie. Przykładem tego ostatniego jest skanowanie portów, którego celem jest zebranie informacji o funkcjonowaniu sieci, ze szczególnym uwzględnieniem identyfikacji potencjalnych słabych punktów i ścieżek głębszej infiltracji.
Tryb działania StyleServ
W infekcjach StyleServ po aktywacji biblioteki DLL inicjuje ona pięć wątków, każdy przypisany do innego portu. Wątki te okresowo próbują uzyskać dostęp do pliku o nazwie „stylers.bin” w odstępach 60-sekundowych. Legalność pliku jest określana na podstawie jego dostępności i spełnienia określonych kryteriów.
Jeśli plik zostanie uznany za prawidłowy, zostanie wykorzystany w żądaniach sieciowych przez kolejne wątki. Wątki służą przede wszystkim jako zaszyfrowane wersje pliku „stylers.bin” i działają jako receptory dla zdalnych połączeń, monitorując zachowania gniazd sieciowych.
Należy zauważyć, że StyleServ wykazuje słabe powiązania z grupą złośliwego oprogramowania Cur; próbkę tego backdoora dostarczył ten sam użytkownik, który przesłał wariant modułu ładującego CurLu. Jeśli potwierdzą się spekulacje dotyczące powiązania StyleServ z infekcją CurLu, ustanowione zostanie połączenie pomiędzy StyleServ a tym samym ugrupowaniem zagrażającym korzystającym z programów powiązanych z rodziną szkodliwego oprogramowania Cur.
