 |
 |
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
20 апреля, суббота, 00:00
|
|
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
DarkSky способен определять запуск на платформах VMware, Vbox, Sandboxie, а также под отладчиком Syser.
Исследователи из Radware проанализировали образцы DDoS-бота DarkSky, атаки которого они наблюдают с мая прошлого года. Как стало известно SC Magazine UK, новая вредоносная программа способна определять запуск на виртуальной машине и при положительном результате приостанавливает свое исполнение.
Боты DarkSky, по словам экспертов, ориентированы на работу под Windows XP, 7, 8 и 10, причем как в 32-битной, так и в 64-битной версии. Авторы данного зловреда постоянно совершенствуют функциональность своего детища, популярность и использование которого растут. Последняя версия DarkSky появилась в декабре и ныне продается в даркнете по цене меньше 20 долларов за экземпляр.
Распространяется новый DDoS-бот обычными методами — с помощью экплойт-паков, через целевые рассылки и спам. Установка DarkSky происходит скрытно, без видимых изменений на зараженной машине. Чтобы обеспечить себе постоянное присутствие, зловред создает новый ключ реестра в разделе RunOnce или регистрирует новый сервис. Защитные механизмы DarkSky позволяют отслеживать запуск на таких виртуальных платформах, как VMware, Vbox и Sandboxie, а также под отладчиком ядра Syser.
Из DDoS-техник DarkSky доступны DNS с усилением мусорного потока (атаки типа DNS с плечом), SYN flood, UDP flood и HTTP flood. Проведя атаку, зловред проверяет ее успех, связываясь с командным сервером.
Кроме того, DarkSky способен по команде устанавливать прокси-сервер SOCKS/HTTP, чтобы направить трафик на удаленный сервер, и загружать другие вредоносные файлы. Среди последних эксперты идентифицировали незамысловатый майнер Monero и новейшую версию даунлоудера 1ms0rry, обычно используемого для загрузки криптомайнеров.
Для защиты от DarkSky и подобных ему зловредов Radware советует использовать гибридную защиту от DDoS (комбинацию из локальных и облачных решений), поведенческий анализ, технологии создания сигнатур в реальном времени и ввести практику упреждения атак на основе анализа информации об угрозах, поступающей из надежных источников. Эксперты рекомендуют также создать группу быстрого реагирования на киберинциденты, укомплектованную специалистами по обеспечению безопасности IoT и защите от атак с использованием таких устройств.
Комментируя новую опасную находку для SC Magazine UK, Фрейзер Кайн (Fraser Kyne)? технический директор Bromium в регионе EMEA? отметил: «Безобидный или вредоносный характер обычно выявляется детектированием, и это игра в «кошки-мышки», в которой чаще выигрывают плохие парни. Вместе с тем, типовая песочница — это абстрактное представление программного обеспечения, запускаемого в рамках ОС. Надежно защитить Windows в самой Windows, к сожалению, невозможно: площадь атаки слишком велика, в том числе на уровне ядра. В Microsoft это осознают и потому все больше концентрируют усилия на обеспечении безопасности Windows 10 на основе виртуализации».
 |
нравится | не нравится |  |
Рейтинг: | 0 |
Всего голосов: 0 |
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
| Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |
