SOS :: Security Operation Space
14 ноября, среда, 00:00
|
Hot News:

Новый DDoS-бот не желает исполняться в песочнице

13 февраля 2018 г., вторник, 19:34

DarkSky способен определять запуск на платформах VMware, Vbox, Sandboxie, а также под отладчиком Syser.

Исследователи из Radware проанализировали образцы DDoS-бота DarkSky, атаки которого они наблюдают с мая прошлого года. Как стало известно SC Magazine UK, новая вредоносная программа способна определять запуск на виртуальной машине и при положительном результате приостанавливает свое исполнение.

Боты DarkSky, по словам экспертов, ориентированы на работу под Windows XP, 7, 8 и 10, причем как в 32-битной, так и в 64-битной версии. Авторы данного зловреда постоянно совершенствуют функциональность своего детища, популярность и использование которого растут. Последняя версия DarkSky появилась в декабре и ныне продается в даркнете по цене меньше 20 долларов за экземпляр.

Распространяется новый DDoS-бот обычными методами — с помощью экплойт-паков, через целевые рассылки и спам. Установка DarkSky происходит скрытно, без видимых изменений на зараженной машине. Чтобы обеспечить себе постоянное присутствие, зловред создает новый ключ реестра в разделе RunOnce или регистрирует новый сервис. Защитные механизмы DarkSky позволяют отслеживать запуск на таких виртуальных платформах, как VMware, Vbox и Sandboxie, а также под отладчиком ядра Syser.

Из DDoS-техник DarkSky доступны DNS с усилением мусорного потока (атаки типа DNS с плечом), SYN flood, UDP flood и HTTP flood. Проведя атаку, зловред проверяет ее успех, связываясь с командным сервером.

Кроме того, DarkSky способен по команде устанавливать прокси-сервер SOCKS/HTTP, чтобы направить трафик на удаленный сервер, и загружать другие вредоносные файлы. Среди последних эксперты идентифицировали незамысловатый майнер Monero и новейшую версию даунлоудера 1ms0rry, обычно используемого для загрузки криптомайнеров.

Для защиты от DarkSky и подобных ему зловредов Radware советует использовать гибридную защиту от DDoS (комбинацию из локальных и облачных решений), поведенческий анализ, технологии создания сигнатур в реальном времени и ввести практику упреждения атак на основе анализа информации об угрозах, поступающей из надежных источников. Эксперты рекомендуют также создать группу быстрого реагирования на киберинциденты, укомплектованную специалистами по обеспечению безопасности IoT и защите от атак с использованием таких устройств.

Комментируя новую опасную находку для SC Magazine UK, Фрейзер Кайн (Fraser Kyne)? технический директор Bromium в регионе EMEA? отметил: «Безобидный или вредоносный характер обычно выявляется детектированием, и это игра в «кошки-мышки», в которой чаще выигрывают плохие парни. Вместе с тем, типовая песочница — это абстрактное представление программного обеспечения, запускаемого в рамках ОС. Надежно защитить Windows в самой Windows, к сожалению, невозможно: площадь атаки слишком велика, в том числе на уровне ядра. В Microsoft это осознают и потому все больше концентрируют усилия на обеспечении безопасности Windows 10 на основе виртуализации».

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
15:40
15:15
15:07
15:03
14:15
13:15
12:35
12:15
11:29
10:15
10:15
09:15
08:15
07:15
07:15
06:15
06:07
17:19


© 2013—2018 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.148
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.