1
  1. Этот сайт использует файлы cookie. Продолжая пользоваться данным сайтом, Вы соглашаетесь на использование нами Ваших файлов cookie. Узнать больше.
Приветствуем вас,Гость, на форуме IFUD.WS. Обязательно рекомендуется к прочтению правила форума http://ifud.ws/threads/obnovleno-pravila-foruma.7759

Новый троянец Moker способен избегать обнаружения

Тема в разделе "Новости IT", создана пользователем asq00, 10 окт 2015.

  1. TopicStarter Overlay
    asq00

    asq00

    Регистрация:
    9 окт 2013
    Сообщения:
    41
    Симпатии:
    25
    В минувший вторник исследователи обнаружили новый инструмент удаленного доступа (RAT), способный эффективно противодействовать существующим защитным решениям, при этом наделяя атакующего неограниченным доступом к системе.
    Эксперты израильской компании enSilo обнаружили троянца, названного ими Moker, в сети одной из своих компаний-клиентов, однако отметили, что им неизвестно, как именно он туда попал.
    Старший ИБ-исследователь Йотам Готтесман (Yotam Gottesman) заявил, что, скорее всего, это малоизвестная разновидность вредоносного ПО, поскольку обнаружить его в базах VirusTotal не удалось.
    Анализ показал, что троянец крайне умело избегает обнаружения.
    По словам исследователей, Moker способен обходить антивирусы, песочницы и виртуальные машины. Помимо этого он использует недочет в дизайне UAC — функции Windows, призванной оповещать пользователей о попытках внесения изменений, требующих прав уровня администратора. Зловред также, по всей видимости, использует техники антидебаггинга, чтобы затруднить анализ кода и ввести исследователей в заблуждение.
    «Средства защиты [Moker] от детектирования включают самошифрование и двухэтапную установку, — Please login or register to view links Готтесман. — От анализа его спасают уклонение от работы под отладчиком, сложность кода и дополнительные инструкции, призванные сбить с толку исследователей».
    Попав в целевую систему, RAT-троянец становится большой проблемой. Атакующий получает практически полный доступ к устройству, что позволяет ему делать скриншоты, перехватывать сетевой трафик и нажатия клавиш, а также извлекать интересующие его файлы. Кроме этого можно создавать новые учетные записи, изменять настройки безопасности системы и внедрять вредоносный код в исполняющую среду.
    Пока неясно, кто стоит за этим троянцем, хотя эксперты установили, что зловред связывается с сервером в Черногории. Не исключено, что таким образом атакующие просто пытаются замести следы.
    Moker обладает еще одной интересной особенностью: он способен функционировать, даже не имея возможности связаться с C&C-сервером. Он может получать команды и по месту, со скрытой панели управления.
    Исследователи полагают, что подобный функционал был внедрен для тех случаев, когда есть возможность получить доступ через VPN и действовать непосредственно на целевой системе. Панель управления также можно использовать в целях тестирования.
    Хотя Moker, судя по всему, был создан для однократного применения, исследователи опасаются, что его преемники унаследуют реализованные в нем технологии.
    «Вполне возможно, что это была единичная атака, — пишет Готтесман. — Однако, как показывает практика, авторы зловредов зачастую заимствуют наработки своих коллег. Не удивлюсь, если появятся новые APT-зловреды, использующие технологии Moker (например, обход механизмов защиты и противодействие анализу кода)».
     
    • Like Like x 3
    • Agree Agree x 1
    Метки:

Поделиться этой страницей

Загрузка...