SOS :: Security Operation Space
28 марта, четверг, 00:00
|
Hot News:

Rietspoof загружается на Windows каскадом

19 февраля 2019 г., вторник, 07:37

Появившийся летом зловред с функционалом бота и загрузчика начал получать обновления почти ежедневно.

Исследователи из Avast опубликовали информацию о Windows-зловреде, с которым они впервые столкнулись в августе 2018 года. Анализ показал, что Rietspoof обладает возможностями бота, но предназначен в основном для загрузки дополнительных файлов.

Вредоносная программа до сих пор активно развивается. По данным экспертов, вначале вирусописатели вносили изменения примерно раз в месяц, а с января обновления стали появляться почти каждый день.

Цепочка заражения в данном случае включает несколько этапов. Вначале в систему загружается дроппер — сильно обфусцированный VBS-сценарий, который, по всей видимости, доставляется по каналам мгновенного обмена сообщениями (Skype или Messenger). Его основной задачей является подготовка второй ступени заражения — распаковка встроенного CAB-файла, содержащего исполняемый код. Последний подписан действующим сертификатом (таковых обнаружено несколько, в основном выданных УЦ Comodo) и выполняет установку программы-загрузчика на этапе 4.

С 22 января скрипт-дроппер также обеспечивает постоянное присутствие Rietspoof в системе: создает файл WindowsUpdate.lnk и добавляет его в папку запуска Windows.

На третьем этапе заражения в систему загружается бот; в настоящее время он используется для запуска процессов на машине и загрузки файлов. Этот компонент также способен выполнять команду на самоуничтожение. Эксперты обнаружили две версии бота, которые различаются в основном протоколом обмена с C&C-сервером. Одна из них использует простой TCP и отыскивает центр управления по адресу, прописанному в коде. Вторая пытается прибегнуть к запросам HTTP/HTTPS, однако при наличии прокси-соединения тоже использует TCP.

Примечательно, что командный сервер Rietspoof проверяет прописку IP-адреса подключения и пока подает команды лишь в том случае, когда зараженная машина расположена в США. Авторы зловреда постоянно обновляют бот, но изменяют по большей части его коммуникации — то введут шифрование сообщений (AES в режиме CBC), то откатят. Содержание ответов, возвращаемых клиентам на один и тот же запрос, тоже может быть различным.

Загрузчик, устанавливаемый на четвертом этапе, вполне тривиален, но общается с командным сервером (его IP тоже вшит в код) необычным способом. При установке TCP-соединения зловред пытается создать канал авторизованной связи с использованием протокола NTLM. В случае успеха он скачивает финальную полезную нагрузку — или вредоносный файл очередной ступени заражения.

Исследователи не уверены, что им удалось выявить все этапы атаки Rietspoof. Неясны также конечная цель злоумышленников и их мишени: вполне возможно, что существуют образцы зловреда, раздаваемые лишь в конкретные блоки IP-адресов. Очевидно лишь одно: темпы разработки и развертывания новой угрозы растут, она обрастает новыми функциями, а прежние ежедневно обновляются и совершенствуются.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
19:45
17:45
14:45
12:45
11:45
09:45
09:45
19:45
18:45
16:45
15:45
14:45
13:45
10:45
10:45
09:45
19:45
19:45


© 2013—2024 SOS :: Security Operation Space (Пространство Операций Безопасности)  // AMS  // Обратная связь  | 0.085
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.