Tehnografi.com - Технологические новости, обзоры и советы

Лето недовольства: самые горячие вредоносные хиты

malware-cybersecurity-news "border =" 0 "data-original-height =" 380 "data-original-width =" 728 "src =" https://1.bp.blogspot.com/-Z_k1PAAb7TA/XXDmtXTlZvI/AAAAAAAA0 -o / lDk_jz2opT06EMKvVWVbPLkOXiqqA3gswCLcBGAs / s728-e100 / malware-cybersecurity-news.jpg "title =" malware-cybersecurity-news
Это было лето вымогателей, атак по цепочкам поставок и атак без файлов, находящихся под радаром безопасности старой школы. В то время, как вредоносное программное обеспечение исходит от нас, пока мы лежим на пляже, вот краткий обзор наиболее острых явлений и тенденций, наблюдаемых в дикой природе в течение июля и августа 2019 года.

Тенденции развития вредоносных программ

Жара, должно быть, дала о себе знать, так как этим летом происходило развитие вредоносных программ, особенно в отношении трех основных тенденций:

Evasion-на-дизайн

Вредоносные программы все чаще разрабатываются для обхода средств контроля безопасности с использованием целого ряда тактик, прежде всего путем:

  • Изменение хэшей через обфускацию файлов, чтобы избежать AV.
  • Использование зашифрованной связи с серверами C2 для предотвращения EDR.
  • Использование функций манипулирования функциями и взлома для обмана ИИ, механизмов машинного обучения и песочниц путем обнаружения таких сред и преднамеренной задержки в выполнении.

Атаки без файлов и жизнь вне страны (LOTL)

Отходя от методов уклонения на шаг впереди, все большее число пользователей используют команды PowerShell и маскируются под легитимные системные инструменты, при этом все они работают полностью из памяти (ОЗУ), чтобы летать под радаром традиционных решений на основе IoC, и требуют анализа на основе поведения для обнаружить.

(Джек в коробке) 2 или Джек в коробке, Квадрат

Нет, благодаря подпольным предприятиям «бот-сеть как услуга», целые бот-сети скомпрометированных систем сдаются в аренду хакерам, с помощью которых они могут использовать готовый доступ к работающим и хорошо работающим системам, чтобы одновременно раскрыть множество вредоносных программ, находящихся в их распоряжении. Например, Emotet обслуживает IcedID (Bokbot), за которым следует Trickbot или вымогатель Ryuk.

Смертельные непосредственные угрозы

Каковы были самые экзотические и смертельные вредоносные штаммы этого лета? Вот обзор.

Astaroth Malware использует методы Living-Off-The-Land (LOTL)

Ориентация на европейские и бразильские организации, а также непосредственная угроза 76% По оценкам Cymulate Research Lab, организаций, которые проверяли свою устойчивость к нему, вредоносное ПО Astaroth, не содержащее файлов, обходит традиционные средства управления безопасностью на основе IoC, похищая учетные данные пользователей, включая PII, системные и финансовые данные.

Кредит: Microsoft

Ни при каких обстоятельствах в течение всей цепочки уничтожения атак Astaroth не удаляет любые исполняемые файлы на диске или использует какой-либо файл, который не является системным инструментом, полностью выполняя свою полезную нагрузку в памяти (RAM).

Sodinokibi использует CVE для продвижения вымогателей через сайты MSP

Sodinokibi («Sodi») вымогателей редко используется в Windows уязвимость, а именно CVE-2018-8453, исправленная Microsoft в прошлом году, которая позволяет получить доступ на уровне администратора. Предполагается, что преемник GandCrab Ransomware-as-a-Service, Sodinokibi распространяется через веб-сайты провайдеров управляемых услуг (MSP), форму атак по цепочке поставок, где ссылки для скачивания заменяются исполняемым файлом-вымогателем. Первоначально подозреваемый как предлагаемый как услуга в подполье из-за его подхода «мастер-ключ шифрования», было подтверждено, что это действительно так.

Хорошей новостью является то, что ни одна из организаций, моделирующих этот конкретный вариант, не была признана уязвимой; тем не менее, уровень экспозиции для других вариантов Sodi в течение этого лета колебался от 60% до 77%, в зависимости от тестируемого штамма.

GermanWiper Ransomware добавляет оскорбление травмы

Ориентируясь на немецкоязычные страны, GermanWiper на самом деле не шифрует файлы. Скорее, он перезаписывает все содержимое жертвы нулями, необратимо уничтожая их данные. Таким образом, выкуп является поддельным, делая любые платежи бесполезными и делая резервные копии в автономном режиме крайне важными для восстановления.

Представляя собой приложение для работы с приложением CV, вредоносная программа распространяется через рассылку спама. 64% организаций симуляция GermanWiper оказалась уязвимой при тестировании против нее средств управления.

MegaCortex Ransomware вымогает предприятия в США и ЕС

Представлять угрозу 70% организацийОсновываясь на проведенном моделировании атак, MegaCortex намеренно нацеливается на крупные предприятия, стремясь вымогать большие суммы денег, начиная с 2-6 миллионов долларов США в биткойнах. Операторы MegaCortex скомпрометировали серверы, важные для бизнеса, и зашифровали их и любые другие системы, подключенные к хосту.

Этот вымогатель изначально был выполнен с использованием полезной нагрузки, зашифрованной паролем, который был введен вручную во время живого заражения. В своем новом варианте этот пароль жестко закодирован вместе с другими автоматизированными функциями, такими как методы уклонения от безопасности. Вредоносное ПО также расшифровывалось для расшифровки и запуска своей полезной нагрузки из памяти.

Silence APT распространяет вредоносные программы по всему миру

Русскоязычная группа продвинутых постоянных угроз (APT) является одной из самых сложных в мире и недавно обновила свои протоколы TTP для шифрования критических строк, включая команды, выдаваемые ботам, чтобы избежать обнаружения. Первоначально отправляя письма с повторной проверкой потенциальным жертвам, чтобы идентифицировать легкие кликеры, после первоначального заражения хакеры теперь распространяли дополнительное вредоносное ПО для жертв либо через переписанный загрузчик TrueBot, либо через загрузчик без файлов Ivoke, скрывая связь C2 через туннелирование DNS. За прошедший год группа накопила около 4 миллионов долларов.

По данным Cymulate, 84% организаций уязвимы для штамма, выпущенного этим летом.

Turla атакует правительство с помощью угнанных серверов Oilrig APT Group

Турла, специально предназначенная для правительств и международных организаций, предположительно захватила инфраструктуру, принадлежащую связанной с Ираном группе APT Oilrig. Используя комбинацию пользовательских вредоносных программ, модифицированных версий общедоступных хакерских утилит и легитимного программного обеспечения для администраторов, группа движется к методам LOTL, жертвами которой являются министерства, правительства и организации, занимающиеся коммуникационными технологиями, в десяти разных странах.

70% организаций были признаны уязвимыми к этой угрозе во время тестирования безопасности.

Хотите оценить безопасность вашей организации сейчас, когда лето закончилось? Узнайте, как симуляция взлома и атаки может дать вам немедленную и действенную информацию, которая вам нужна. Закажите демо или бесплатную пробную версию сегодня!

Table of Contents