Бесследный malware

Конец прошлого года запомнился многим DDoS-атаками, сначала на сайт Брайана Кребса — журналиста, много пишущего про информационную безопасность, а затем и на американского DNS-провайдера DYN. Для атак использовался ботнет Mirai, состоящий из более чем 100000 устройств, относящихся к интернету вещей. Многие специалисты отмечали, что для выведения устройства из ботнета в ряде случаев достаточно было бы просто его перезагрузить — после этого вредоносный код полностью удалялся с устройства.

Мы привыкли к тому, что преступник, в том числе и действующий в киберпространстве, оставляет след. Как правило, это созданные злоумышленниками файлы, которые призваны возобновить враждебную деятельность после перезагрузки. Иногда, если специалистам по борьбе со взломами повезёт — записи в журналах действий. Но в мире интернета вещей зловреда не всегда легко поместить в файловую систему. А в мире “больших” компьютеров подход, предлагающий зловреду исчезать при перезагрузке, сравнительно новый, и может применяться для маскировки.

В феврале 2017 года исследователи из Лаборатории Касперского сообщили об обнаружении malware-невидимки, атакующего корпоративные сети. После скачивания на компьютер жертвы и инсталляции вредоносный код остаётся только в памяти компьютера. Исследователям удалось обнаружить в памяти атакованных машин программу Meterpreter — резидентную часть Metasploit, инструмента, часто используемого при проверке сетей на безопасность, в том числе, увы, и злоумышленниками. Возможности обнаруженного вредоносного кода включают сбор паролей администраторов и удалённое администрирование инфицированных компьютеров. Собрав пароли администраторов, злоумышленники получали богатые возможности для атак на заражённые компьютеры. Жертвами стали более 140 корпоративных сетей по всему миру — банки, государственные организации, телекоммуникационные компании в 40 странах… Для управления, по данным компании, использовались домены в зонах .GA, .ML и .CF, но установить их администратора не удалось. Как не удалось и доказать, что за всеми атаками стоят одни и те же злоумышленники, хотя в лаборатории подозревают одну из найденных ими ранее группировок, GCMAN или Carbanak. В публикации перечислены характерные признаки заражения этим вирусом.

Вероятно, первые образцы такого рода вредоносов были найдены тоже в Лаборатории Касперского, причём в прямом смысле — они были найдены во внутренней сети компании. Тогдашний malware, остававшийся незамеченным в течение полугода, получил название Duqu2. В некоторых статьях устанавливается связь Duqu с более известным зловредом Stuxnet, использованным в своё время для атаки на иранскую ядерную программу.

Об ещё одном зловреде, не использующем файловую систему жертвы, http://blog.talosintelligence.com/2017/03/dnsmessenger.html сообщила фирма Talos. Тут вредоносное ПО проникает на компьютер жертвы через макросы в офисных документах, а затем использует записи TXT протокола DNS для запуска PowerShell-скриптов на уже заражённом компьютере. TXT-записи удобны злоумышленнику тем, что могут нести в себе произвольное содержимое. Полная процедура заражения достаточно сложная и включает в себя относительно точное определение версий операционной системы, PowerShell и прочего ПО жертвы. Кроме исходного макровируса, других следов в системе не остаётся. Ну а уж способов убедить пользователя открыть произвольный документ злоумышленники придумали, к сожалению, очень много — люди обоснованно считаются слабым звеном в любой системе безопасности. Пока что этот подход используется в качестве адресной атаки.

Как всегда, любая новинка в технике распространения и маскировки угрозы имеет шанс быть воспринятой на ура злоумышленниками по всему миру. А пользователям остается лишь надеяться на то, что их антивирусы выйдут из схватки подготовленными. Тем временем в апреле 2017 года Лаборатория Касперского обещает выпустить вторую часть доклада, описывающую, как с помощью найденного зловреда удавалось похищать деньги из банкоматов.


Автор:  Дмитрий Белявский (ТЦИ)

Возврат к списку