Kako se malver Powerliks krije od antivirusa

Opisi virusa, 05.08.2014, 09:18 AM

Kako se malver Powerliks krije od antivirusa

Stručnjaci nemačkog proizvođača antivirusa kompanije G Data otkrili su novi malver nazvan Powerliks koji pokušava da izbegne detekciju i analizu tako što radi samo iz system registryja ne kreirajući fajlove na disku.

Ovakav koncept malvera koji postoji samo u memoriji sistema bez fajlova na disku nije nov, ali su takvi malveri retki zato što oni obično ne preživljavaju ponovna pokretanja sistema, kada se memorija očisti.

To nije slučaj sa malverom Powerliks, koji ima nešto drugačiji pristup koji mu obezbeđuje opstanak.

U fajlu koji započinje sve zlonamerne aktivnosti na sistemu sačuvan je ceo kod koji je neophodan za napad, koji šifrovan i sakriven, čeka da bude izvršen. Da bi se obavile zlonamerne aktivnosti, napadači idu korak po korak u dubinu koda. Izvršavanje ovih koraka jedan za drugim podseća na ruske lutke babuške (matrjoške).

Napad počinje emailom sa maliciozno izmenjenim Microsoft Word dokumentom u prilogu. U slučaju koji su analizirali u G Data, napadači su koristili ranjivost CVE-2012-0158 u MS Office i nekoliko drugih Microsoftovih proizvoda. Iako propust nije nov, mnogi korisnici koriste neažurirane verzije softvera koje mogu biti kompromitovane na ovaj način.

Kada se fajl pokrene, kreira se kodirani autostart ključ u registryju. Tehnika kodiranja koju koristi malver je zapravo Microsoftova a služi da zaštiti Microsoftov izvorni kod od izmena.

Da bi izbegao detekciju sistemskih alata, registry ključ se sakriva tako što nijedan karakter u nazivu ključa nije ASCII karakter. Registry Editor ne može da čita ne-ASCII karaktere i zbog toga ne može da otvori ključ, pa se pojavljuje poruka o grešci. Tako ni korisnik takođe ne može da vidi ključ.

Kreiranjem autostart ključa, napadači mogu biti sigurni da ponovno pokretanje sistema neće ukloniti malver sa računara.

Dekodiranje ključa otkriva dva koda: jedan koji proverava da li napadnuti računar ima instaliran Windows PowerShell, i drugi, Base64-encoded PowerShell skiptu za pozivanje i izvršavanje shellcodea.

Shellcode izvršava payload, koji pokušava da se poveže sa udaljenim C&C serverom za komandu i kontrolu da bi dobio instrukcije. Postoji nekoliko IP adresa za C&C servere i sve su hardkodovane.

Malver je teško otkriti uobičajenim zaštitnim mehanizmima jer ne kreira nijedan fajl na disku.

“Da bi se sprečili napadi kao što je ovaj, antivirusna rešenja moraju ili da uhvate fajl (početni Word dokument) pre nego što bude izvršen (ako postoji), po mogućstvu i pre nego što dođe do email inboxa korisnika. Ili, kao sledeća linija odbrane, oni (antivirusna rešenja) treba da otkriju exploit, ili kao poslednji korak, nadzorom registryja mora se otkriti neobično ponašanje, blokirati odgovarajući procesi i upozoriti korisnik”, kažu iz G Data.

Malver Powerliks je veoma moćan i može preuzeti bilo koji payload, a razmere štete koju može prouzrokovati Powerliks mogu biti velike. Powerliks može instalirati spyware na zaraženom računaru da bi prikupljao privatne podatke ili poslovna dokumenta. On može instalirati i bankarskog trojanca a posledica toga može biti krađa novca sa računa korisnika. Malver može instalirati bilo koji štetan program u zavisnosti od potreba napadača. Powerliks se može koristiti i u bot mrežama i tako iskoristiti za zarađivanje novca od prevara sa oglasima.

Više tehničkih detalja o malveru Powerliks možete naći na blogu kompanije G Data.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi malver za macOS krije se u piratskom softveru

Novi malver za macOS krije se u piratskom softveru

Stručnjaci iz kompanije Kaspersky upozoravaju da sajber kriminalci napadaju korisnike macOS-a novim proksi trojanskim malverom koji je sakriven u pop... Dalje

Malver Atomic Stealer inficira macOS putem lažnog ažuriranja za pretraživače

Malver Atomic Stealer inficira macOS putem lažnog ažuriranja za pretraživače

Atomic Stealer, takođe poznat i kao AMOS, je malver za Mac OS koji se trenutno širi preko lažnog ažuriranja pretraživača pod nazivom „Clea... Dalje

Kako malver Ducktail krade Facebook naloge

Kako malver Ducktail krade Facebook naloge

Istraživači kompanije Kaspersky otkrili su novu verziju malvera Ducktail koju sajber kriminalci koriste za napade na zaposlene u kompanijama koji su... Dalje

Sajber kriminalci imaju novu taktiku kojom sprečavaju otkrivanje malvera

Sajber kriminalci imaju novu taktiku kojom sprečavaju otkrivanje malvera

Malver LummaC2 v4.0 koji krade podatke, izbegava otkrivanje koristeći trigonometriju da bi razlikovao ljudske korisnike od automatizovanih alata za ... Dalje

Malver StripedFly zarazio više od milion računara

Malver StripedFly zarazio više od milion računara

Punih pet godina jedan malver ostao je neprimećen zarazivši za to vreme više od milion Windows i Linux sistema. Pravu prirodu malvera StripedFly ko... Dalje