Хакеры распространяют сложное вредоносное ПО среди поставщиков управляемых услуг (MSP), разрабатывая множество сложных скрытых методов, чтобы избежать обнаружения, говорится в обновленном сообщении Huntress Labs в блоге.
MSP являются особенно привлекательными целями для хакеров, поскольку они обычно работают с несколькими клиентами, поэтому одна вредоносная программа может сканировать множество потенциальных жертв за раз. Huntress, которая предоставляет услуги по отслеживанию и управлению ответами (MDR) через MSP, впервые раскрыла процедуры вредоносных программ в блоге, опубликованном в июне прошлого года. Последующие блоги были посвящены тому, как вредоносное ПО их покрывает. действия из.
На первый взгляд вредоносная программа выглядела как журнал приложения - поэтому она ее скрывала. деятельность - но, присмотревшись, мы обнаружили, что файл «связан с обнаруженной нами вредоносной базой», - сказал соучредитель Huntress Джон Феррелл в исходном посте. "Авторы вредоносного ПО использовали разные вещи ухищрения скрыть, включая переименование легальных учетмаскировки под существующие запрограммированные работа и использование вредоносной полезной нагрузки, хранящейся в файле, который был создан в виде журнала ошибок ».
Внимательнее
Ошибка, как сказал Джон Хаммонд, старший исследователь безопасности Huntress в обновленном блоге, является «многоэтапной и многозадачной нагрузкой». В то время как вредоносные программы, которые доставляются постепенно, не редкость, уровень который достигает этой конкретной вредоносной программы, чтобы предотвратить ее обнаружение, является уникальным. Он также достаточно умен, чтобы оставаться незамеченным стандартной программой. антивирус или конечная точка, сказал он.
Первоначальная полезная нагрузка доставляется с использованием подлинных «двоичных файлов Windows» для извлечения и выполнения нового кода PowerShell, содержащего еще один фрагмент скрытого и зашифрованного данные для восстановление вторая полезная нагрузка с использованием Google DNS через службу HTTPS. «Использование DNS через HTTP в качестве средства получения другого вредоносного ПО - это очень хитрый трюк», - сказал Хаммонд. Чтобы доставить последнюю полезную нагрузку, вредоносный код достигает одного внешний сервер который устанавливает последнюю команду и контроль, чтобы дать хакеру контроль над целью система.
Greek
Chinese (Simplified)
English
Greek
Russian αναπτύσσοντας πολλαπλές και πολύπλοκες τεχνικές απόκρυψης){kind=link}