Вредоносное ПО StyleServ действует как бэкдор
StyleServ классифицируется как вредоносное ПО бэкдорного типа, которое попадает в категорию вредоносных программ, предназначенных для подготовки системы к дальнейшему проникновению или выполнения второго этапа заражения. Хотя точная цель StyleServ в настоящее время остается неясной, весьма вероятно, что он служит предварительным инструментом для облегчения последующих заражений.
Как упоминалось ранее, точная функциональность StyleServ на момент написания этого отчета остается неопределенной. Тем не менее, вполне вероятно, что это вредоносное ПО используется для сканирования сетей, в которые оно проникло, в поисках информации, которая может помочь в продвижении атаки, например, для выявления существующих уязвимостей в цели.
Крайне важно подчеркнуть, что такие инструменты обычно используются для разносторонних целевых атак, которые зависят от конкретной цели и ее уязвимостей безопасности или их отсутствия.
Известно, что заражение StyleServ использует технику боковой загрузки DLL. Этот метод использует механизм порядка поиска DLL Windows для использования законной программы для выполнения вредоносной полезной нагрузки, такой как StyleServ.
Этот бэкдор используется в пассивных атаках, включающих мониторинг системы, который может включать в себя такие действия, как сканирование уязвимостей и открытие портов. Некоторые пассивные атаки требуют минимального взаимодействия с целевой системой, тогда как другие предусматривают активную разведку. Примером последнего является сканирование портов, направленное на сбор информации о том, как функционирует сеть, с упором на выявление потенциальных слабых мест и путей более глубокого проникновения.
Режим работы StyleServ
При заражении StyleServ после активации DLL инициирует пять потоков, каждый из которых назначается отдельному порту. Эти потоки периодически пытаются получить доступ к файлу с именем «stylers.bin» с интервалом в 60 секунд. Легитимность файла определяется его доступностью и соответствием определенным критериям.
Если файл считается действительным, он используется в сетевых запросах последующими потоками. Потоки в основном служат зашифрованными версиями «stylers.bin» и действуют как приемники удаленных подключений, отслеживая поведение сетевых сокетов.
Важно отметить, что StyleServ имеет слабую связь с группой вредоносных программ Cur; образец этого бэкдора был предоставлен тем же пользователем, который загрузил вариант загрузчика CurLu. Если предположение о связи StyleServ с заражением CurLu подтвердится, это установит связь между StyleServ и тем же злоумышленником, использующим программы, связанные с семейством вредоносных программ Cur.
