Новости Software

Cisco исследовала новый коварный вирус

Компьютерные злоумышленники и разработчики систем защиты постоянно ищут способы обхитрить друг друга. Усовершенствованные инструменты статичного, динамичного и автоматизированного анализа сделали жизнь атакующих на порядок сложнее, так как теперь очень непросто вторгнуться в систему, оставаясь при этом незамеченным. В свою очередь, хакеры активно разрабатывали методы вторжения, максимально усложняющие анализ.

 Cisco

Cisco

Последним ярким образцом такого подхода является зловредная программа, идентифицированная исследовательской группой Talos компании Cisco как malware с именем Rombertik. Обратная инженерия кода показала, что в этой программе реализовано несколько слоёв маскировки и функциональности, препятствующей успешному анализу и распознаванию. Статический и динамический анализ оказался трудно выполнимым. При обнаружении образца он разрушает MBR-запись.

 Cisco

Cisco

Обратная инженерия кода Rombertik помогла Talos лучше понять, как злоумышленники меняют методы для обхода обнаружения и усложнения анализа. Cisco уверена, что исследование Rombertik позволит ей улучшить свои продукты защиты.

Rombertik является сложной программой, которая внедряется в браузер и считывает персональную информацию пользователя. В отличие от Dyre, который специализируется на сборе банковской информации, Rombertik «впитывает» всё без разбора. Для внедрения в систему используются преимущественно методы социальной инженерии. Пример приведён ниже.

 Cisco

Cisco

Вирус оказался довольно коварным. Программа проверяет, не заметили ли её или начали анализировать, и если всё проходит успешно, она начинает шпионить за пользователем. В случае обнаружения Rombertik пытается разрушить MBR-запись и перезагрузить компьютер. Если ему это не удаётся, то вирус шифрует и делает недоступной папку документов. Весь жизненный цикл вируса изображен на рисунке.

 Cisco

Cisco

Распакованный Rombertik занимает всего 28 Кбайт. А архив «весит» 1264 Кбайт. Таким способом вирус пытается запутать инструменты анализа, ведь 97 % строчек кода похожи на реальный полезный файл. При анализе очень сложно обнаружить вредоносную сигнатуру. Кроме того, используются другие методы, подробнее о которых можно прочитать здесь.

Несмотря на всю сложность и коварность вируса, применение простых правил безопасности позволит не допустить угрозу его вторжения. Для этого достаточно не загружать вложения от подозрительных источников, использовать блокирование некоторых типов файлов, приходящих по электронной почте.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
window-new
Soft
Hard
Тренды 🔥
Volkswagen построит в Канаде или США аккумуляторный завод, чтобы покупатели ID.4 могли получать максимальные субсидии 3 ч.
Apple хотела бы выпускать больше устройств в Индии и Вьетнаме, но отдалиться от Китая будет очень непросто 14 ч.
Специалисты iFixit разобрали Apple iPad (2022) — внутренняя компоновка устройства во многом напоминает iPad Air (2020) 03-12 20:11
Samsung повысит безопасность сканера отпечатков пальцев в 2,5 млрд раз к 2025 году 03-12 18:40
BMW Group начала мелкосерийное производство водородной версии внедорожника iX5 03-12 15:38
В США разработана технология 3D-печати металлами с разрешением 40 мкм 03-12 14:06
Китай впервые провёл ротацию экипажей космических кораблей на орбите 03-12 13:41
ASRock Rack представила GENOAD8UD-2T/X550 — одну из самых компактных плат для AMD EPYC Genoa 03-12 13:33
За стрессом проследит электронная «татуировка» на ладони 03-12 13:06
Volkswagen начала приём заказов на новое поколение электромобиля ID.3 со сроком ожидания один год 03-12 05:49