Hyökkäävä haittaohjelma piiloutuu hiiren liikkeen aikana, asiantuntijat sanovat

Turvallisuuspalvelujen tuottajan FireEye-tutkijoiden paljastanut uuden pitkälle kehitetyn pysyvän uhkan (APT), joka käyttää useita havainnointivastausmenetelmiä, mukaan lukien hiiren napsautusten seuranta, määritä aktiivinen ihmisen vuorovaikutus tartunnan saaneella tietokoneella.

Called Trojan.APT.BaneChant, haittaohjelma on hajautettu Word-asiakirjalla, joka on varustettu kohdistetuilla sähköpostihyökkäyksillä lähetetyllä hyökkäyksellä. Dokumentin nimi on "Islamic Jihad.doc".

"Epäilemme, että tämä aseistettu asiakirja käytettiin kohdentamaan Lähi-idän ja Keski-Aasian hallituksia," FireEye-tutkija Chong Rong Hwa sanoi maanantaina blogikirjoituksessa.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Monivaiheinen hyökkäys

Hyökkäys toimii useassa vaiheessa. Haitallinen asiakirja lataa ja suorittaa komponentin, joka yrittää selvittää, onko toimintaympäristö virtualisoitu, kuten virustentorjuntapaketti tai automaattinen haittaohjelmien analysointijärjestelmä, odottamalla, onko hiiren toimintaa ennen toisen hyökkäysvaiheen aloittamista.

Hiiren klikkausvalvonta ei ole uusi havainnointivastaustekniikka, mutta haittaohjelmat, joita aiemmin käytettiin, tarkistettiin yleensä yhdellä hiiren klikkauksella, Rong Hwa sanoi. BaneChant odottaa vähintään kolme hiiren napsautusta ennen kuin puretaan URL-osoitetta ja haetaan takaporttiohjelma, joka masquerades.jpg-kuvatiedostona, hän sanoi.

Haittaohjelma käyttää myös muita havaitsemisen estämismenetelmiä. Esimerkiksi hyökkäyksen ensimmäisessä vaiheessa haitallinen asiakirja lataa tulppauskomponentin ow.ly-URL-osoitteesta. Ow.ly ei ole haitallinen verkkotunnus, mutta se on URL-lyhentämispalvelu.

Tämän palvelun takana on sivuuttaa URL-osoitteet, jotka ovat aktiivisia kohdetetulla tietokoneella tai sen verkossa, Rong Hwa sanoi. (Katso myös "Roskapostin väärinkäyttö.gov URL-lyhentämispalvelu työtä kotona".

Samoin hyökkäyksen toisessa vaiheessa haitallinen.jpg-tiedosto ladataan URL-osoitteesta, joka on tuotettu No-IP-dynaamisella Domain Name System (DNS) -palvelu.

Kun ensimmäinen komponentti on ladannut,.jpg-tiedosto pudottaa itselleen kopion nimeltä GoogleUpdate.exe kansioon "C: ProgramData Google2". tiedostoon käyttäjän aloituskansioon sen varmistamiseksi, että se suoritetaan jokaisen tietokoneen uudelleenkäynnistyksen jälkeen.

Tämä on yritys, jonka avulla käyttäjät uskovat, että tiedosto on osa Google-päivityspalvelua, joka on normaalisti asennettu oikeutettu ohjelma

Backdoor-ohjelma kerää ja lataa järjestelmän tiedot takaisin komentorivi- ja ohjauspalvelimeen. Se tukee myös useita komentoja, joista yksi voi ladata ja toteuttaa lisätiedostoja tartunnan saaneilla tietokoneilla.

Puolustusteknologian edetessä haittaohjelmat myös e volvoja, Rong Hwa sanoi. Tässä tapauksessa haittaohjelmat ovat käyttäneet useita temppuja, mukaan lukien hiekkalaatikkoanalyysin välttäminen havaitsemalla ihmisen käyttäytymistä, estämällä verkkotason binaariekstraktiotekniikka suorittamalla suoritettavien tiedostojen multibyte XOR-salausta, kopioimalla oikeutetuksi prosessiksi, välttäen rikosteknisen analyysin käyttämällä filamenttisiä haittaohjelmakoodi ladataan suoraan muistiin ja estää automaattisen verkkotunnuksen mustan listan käyttämällä uudelleenohjausta URL-lyhentämällä ja dynaamisilla DNS-palveluilla.