Kako se malver Powerliks krije od antivirusa

Opisi virusa, 05.08.2014, 09:18 AM

Kako se malver Powerliks krije od antivirusa

Stručnjaci nemačkog proizvođača antivirusa kompanije G Data otkrili su novi malver nazvan Powerliks koji pokušava da izbegne detekciju i analizu tako što radi samo iz system registryja ne kreirajući fajlove na disku.

Ovakav koncept malvera koji postoji samo u memoriji sistema bez fajlova na disku nije nov, ali su takvi malveri retki zato što oni obično ne preživljavaju ponovna pokretanja sistema, kada se memorija očisti.

To nije slučaj sa malverom Powerliks, koji ima nešto drugačiji pristup koji mu obezbeđuje opstanak.

U fajlu koji započinje sve zlonamerne aktivnosti na sistemu sačuvan je ceo kod koji je neophodan za napad, koji šifrovan i sakriven, čeka da bude izvršen. Da bi se obavile zlonamerne aktivnosti, napadači idu korak po korak u dubinu koda. Izvršavanje ovih koraka jedan za drugim podseća na ruske lutke babuške (matrjoške).

Napad počinje emailom sa maliciozno izmenjenim Microsoft Word dokumentom u prilogu. U slučaju koji su analizirali u G Data, napadači su koristili ranjivost CVE-2012-0158 u MS Office i nekoliko drugih Microsoftovih proizvoda. Iako propust nije nov, mnogi korisnici koriste neažurirane verzije softvera koje mogu biti kompromitovane na ovaj način.

Kada se fajl pokrene, kreira se kodirani autostart ključ u registryju. Tehnika kodiranja koju koristi malver je zapravo Microsoftova a služi da zaštiti Microsoftov izvorni kod od izmena.

Da bi izbegao detekciju sistemskih alata, registry ključ se sakriva tako što nijedan karakter u nazivu ključa nije ASCII karakter. Registry Editor ne može da čita ne-ASCII karaktere i zbog toga ne može da otvori ključ, pa se pojavljuje poruka o grešci. Tako ni korisnik takođe ne može da vidi ključ.

Kreiranjem autostart ključa, napadači mogu biti sigurni da ponovno pokretanje sistema neće ukloniti malver sa računara.

Dekodiranje ključa otkriva dva koda: jedan koji proverava da li napadnuti računar ima instaliran Windows PowerShell, i drugi, Base64-encoded PowerShell skiptu za pozivanje i izvršavanje shellcodea.

Shellcode izvršava payload, koji pokušava da se poveže sa udaljenim C&C serverom za komandu i kontrolu da bi dobio instrukcije. Postoji nekoliko IP adresa za C&C servere i sve su hardkodovane.

Malver je teško otkriti uobičajenim zaštitnim mehanizmima jer ne kreira nijedan fajl na disku.

“Da bi se sprečili napadi kao što je ovaj, antivirusna rešenja moraju ili da uhvate fajl (početni Word dokument) pre nego što bude izvršen (ako postoji), po mogućstvu i pre nego što dođe do email inboxa korisnika. Ili, kao sledeća linija odbrane, oni (antivirusna rešenja) treba da otkriju exploit, ili kao poslednji korak, nadzorom registryja mora se otkriti neobično ponašanje, blokirati odgovarajući procesi i upozoriti korisnik”, kažu iz G Data.

Malver Powerliks je veoma moćan i može preuzeti bilo koji payload, a razmere štete koju može prouzrokovati Powerliks mogu biti velike. Powerliks može instalirati spyware na zaraženom računaru da bi prikupljao privatne podatke ili poslovna dokumenta. On može instalirati i bankarskog trojanca a posledica toga može biti krađa novca sa računa korisnika. Malver može instalirati bilo koji štetan program u zavisnosti od potreba napadača. Powerliks se može koristiti i u bot mrežama i tako iskoristiti za zarađivanje novca od prevara sa oglasima.

Više tehničkih detalja o malveru Powerliks možete naći na blogu kompanije G Data.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi malver nazvan ''Korona virus'' zaključava Windows

Novi malver nazvan ''Korona virus'' zaključava Windows

Budući da su škole zatvorene zbog pandemije, neka deca se zabavljaju pravljenjem malvera. Takav je slučaj sa različitim novim verzijama MBRLocker... Dalje

Malver TrickBot zaobilazi dvofaktornu zaštitu banaka novom Android aplikacijom TrickMo

Malver TrickBot zaobilazi dvofaktornu zaštitu banaka novom Android aplikacijom TrickMo

Sajber-kriminalci koji stoje iza malvera TrickBot koriste Aandroid aplikaciju koju su napravili da bi zaobišli dvofaktornu (2FA) zaštitu koju korist... Dalje

Novi ransomware se zove CoronaVirus, ali on nije najgore što se može desiti vašem računaru

Novi ransomware se zove CoronaVirus, ali on nije najgore što se može desiti vašem računaru

Nova ransomware nazvan CoronaVirus širi se preko lažnog web sajta koji reklamira softver za optimizaciju sistema i druge programe WiseCleanera. Sajb... Dalje

Android malver Cerberus sada može da krade kodove za 2FA iz Google Authenticatora i daljinski otključava uređaj

Android malver Cerberus sada može da krade kodove za 2FA iz Google Authenticatora i daljinski otključava uređaj

Bankarski trojanac Cerberus je nadograđen i sada može da krade kodove Google Authenticatora za dvofaktornu autentifikaciju (2FA) koja se koristi kao... Dalje

Malver Emotet hakuje obližnje Wi-Fi mreže i inficira računare povezane na njih

Malver Emotet hakuje obližnje Wi-Fi mreže i inficira računare povezane na njih

Zloglasni trojanac Emotet koji stoji iza brojnih spam kampanja i napada ransomwarea, sada ima novi način napada: koristi već zaražene uređaje za ... Dalje