Новости Software

Cisco исследовала новый коварный вирус

Компьютерные злоумышленники и разработчики систем защиты постоянно ищут способы обхитрить друг друга. Усовершенствованные инструменты статичного, динамичного и автоматизированного анализа сделали жизнь атакующих на порядок сложнее, так как теперь очень непросто вторгнуться в систему, оставаясь при этом незамеченным. В свою очередь, хакеры активно разрабатывали методы вторжения, максимально усложняющие анализ.

Cisco

Cisco

Последним ярким образцом такого подхода является зловредная программа, идентифицированная исследовательской группой Talos компании Cisco как malware с именем Rombertik. Обратная инженерия кода показала, что в этой программе реализовано несколько слоёв маскировки и функциональности, препятствующей успешному анализу и распознаванию. Статический и динамический анализ оказался трудно выполнимым. При обнаружении образца он разрушает MBR-запись.

Cisco

Cisco

Обратная инженерия кода Rombertik помогла Talos лучше понять, как злоумышленники меняют методы для обхода обнаружения и усложнения анализа. Cisco уверена, что исследование Rombertik позволит ей улучшить свои продукты защиты.

Rombertik является сложной программой, которая внедряется в браузер и считывает персональную информацию пользователя. В отличие от Dyre, который специализируется на сборе банковской информации, Rombertik «впитывает» всё без разбора. Для внедрения в систему используются преимущественно методы социальной инженерии. Пример приведён ниже.

Cisco

Cisco

Вирус оказался довольно коварным. Программа проверяет, не заметили ли её или начали анализировать, и если всё проходит успешно, она начинает шпионить за пользователем. В случае обнаружения Rombertik пытается разрушить MBR-запись и перезагрузить компьютер. Если ему это не удаётся, то вирус шифрует и делает недоступной папку документов. Весь жизненный цикл вируса изображен на рисунке.

Cisco

Cisco

Распакованный Rombertik занимает всего 28 Кбайт. А архив «весит» 1264 Кбайт. Таким способом вирус пытается запутать инструменты анализа, ведь 97 % строчек кода похожи на реальный полезный файл. При анализе очень сложно обнаружить вредоносную сигнатуру. Кроме того, используются другие методы, подробнее о которых можно прочитать здесь.

Несмотря на всю сложность и коварность вируса, применение простых правил безопасности позволит не допустить угрозу его вторжения. Для этого достаточно не загружать вложения от подозрительных источников, использовать блокирование некоторых типов файлов, приходящих по электронной почте.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
window-new
Soft
Hard
Тренды 🔥