В течение шести месяцев, исследователи в области безопасности тайно вакцины вирусом по всему миру

vaccine


Изображения: ЦКЗ

Безопасности

Everything you need to know about viruses, trojans and malicious software

Все, что нужно знать о вирусах, троянских программ и вредоносного программного обеспечения

Кибер-атаки и вредоносные программы являются одной из самых серьезных угроз в интернете. Узнать о разных видах вредоносных программ и как не стать жертвой нападения.

Подробнее

Большую часть времени, сражаясь вредоносные программы — это проигрышная игра. Авторы вредоносных программ создать свой код, распространять содержимое жертв с помощью различных методов, и к тому времени, охранных фирм догнать, злоумышленники внести небольшие изменения в свой код, чтобы быстро вернуть себе преимущество в скрытности.

Она была такой с конца 80-х, когда вредоносная программа впервые вышла на сцену, и несмотря на заявления большинства фирм безопасности, она будет оставаться такой в обозримом будущем.

Раз в то время, мы действительно получаем хорошие новости от исследователей в области безопасности или правоохранительные органы. Авторы вредоносных программ может оступиться и попасть под арест, или крупные организации скоординированного усилия, чтобы сбить крупные бот-сети.

Однако, не все операции вредоносная программа может быть больно таким образом. Некоторые кибер-преступников, либо проживают в странах, которые не выдают своих граждан или имеют твердые знания о том, что они делают.

Вирусом является одной из банд, установите оба флажка. Полагают, чтобы работать с территорий бывших советских республик, вирусом также является одним из самых квалифицированных групп вредоносных программ, имеющих усовершенствовал заразить-и-аренда-доступ к схеме, как никакая другая группа.

Вредоносная программа, которая впервые была замечена в 2014 году, превратилась из незначительного банковского троянца на вредоносное швейцарский армейский нож, который, как только он заражает жертв, он распространяется с боков по всей сети, стащила какие-либо конфиденциальные данные, и разворачивается и сдает доступ к зараженным компьютерам с другими группами.

Сегодня, вирусом пугает IT-подразделений компаний по всему миру и дало массивная головная боль для всей промышленности кибер-безопасности.

Секретный баг же вирусом

Но под капотом, вирусом, это просто кусок программного обеспечения — как и все остальное (вредоносные программы = вредоносного программного обеспечения). Как таковой, вирусом тоже есть ошибки.

В промышленности кибер-безопасности, есть очень опасные с точки зрения морали, когда дело доходит до использование ошибок в обеспечением, линии многие охранные предприятия не крест, боясь, что они могут в конечном итоге вредит зараженных компьютеров в результате аварии.

Однако редкая ошибка, иногда может показаться, что является безопасным для использования и имеет разрушительные последствия для вредоносной программы.

Одна такая ошибка появилась на свет в начале этого года, обнаружил, Джеймс Куинн, аналитик вредоносных программ рабочая для бинарных обороны.

Тот факт, что Куинн обнаружен баг был не случайно. На протяжении последних лет, основная работа Куинна было охотиться вирусом и держать глаза на ее деятельность, но также, в качестве личного хобби, чтобы повысить осведомленность об этой угрозе входит в группу Cryрtolaemus. (Читайте увлекательные истории о Cryрtolaemus’ охоты вирусом здесь.)

Во время траления через ежедневные обновления вирусом в феврале, Куинн заметил изменение вирусом код-в одном из недавних полезной нагрузки вирусом ботнет был массовым спамом в интернете.

Изменения в «механизм сохранения вирусом, в» части кода, которая позволяет вредоносным ПО, чтобы выжить перезагрузки ПК. Квинн заметил вирусом создает раздел реестра Windows и экономия на XOR шифра ключа.

emotet-registry-key.pngemotet-registry-key.png


Изображения: Двойная Защита

Но этот ключ реестра не только для стойкости, Куинн объяснил в своем докладе, что пойдет жить после этой статьи. Ключ также был частью многих других проверок вирусом код, включая его заранее-инфекции рутины.

Встретиться EmoCrash

Путем проб и ошибок и благодаря последующей вирусом обновления, что уточнить, как новый механизм сохранения работали, Куинн смог собрать крошечный скрипт PowerShell, который эксплуатировал механизм ключа реестра к краху вирусом сам.

Сценарий, умело им EmoCrash, эффективно по этой компьютере пользователя и генерируется правильный, но некорректный ключей реестра вирусом.

Когда Куин пытался намеренно заражают «чистом» компьютере с вирусом, ключ реестра искаженной вызвал переполнение буфера в коде вирусом и разбился вредоносная программа, эффективно предотвращая пользователей от заражения.

Когда Квинн побежала EmoCrash на компьютерах, уже зараженных вирусом, скрипт заменит хороший ключ реестра с неверным форматом, и когда вирусом повторно проверьте раздел реестра, вредоносные программы все равно рухнет так же, предотвращая инфицированных узлов от общения с вирусом командно-контрольный сервер.

Эффективно, Куинн был создан как вирусом вакцины и Killswitch одновременно. Но научный сотрудник сказал, лучшая часть случилось после сбоя.

«Два бревна аварии появится событие с кодом 1000 и 1001, которые могут быть использованы для идентификации конечных точек с инвалидами и умерших двоичные файлы вирусом,» сказал Куинн.

Другими словами, если EmoCrash будут развернуты по всей сети, он может позволить системным администраторам для сканирования или настроить оповещения для этих двух кодов событий журнала и сразу узнать, когда и если вирусом заражен свои сети.

Получать EmoCrash в руках защитников

Бинарные оборона команды быстро поняли, что новость про это открытие необходимо держать в полной тайне, чтобы не допустить вирусом банды от фиксации свой код, но они понимали, EmoCrash также необходимо, чтобы сделать свой путь в руки компаний во всем мире.

По сравнению со многими из сегодняшних крупных кибербезопасности фирмы, которые имеют многолетний историей, Бинарные оборона была основана в 2014 году, и несмотря на то, что одним из новичков, не все же имеют влияние и связи, чтобы это сделать без Новости его обнаружения утечки, либо случайно, либо из-за ревнивого соперника.

Чтобы это сделать, Бинарные оборону работал с командой Камри, компания, которая имеет многолетнюю историю организации и участии в партер ботнет.

Работая за кулисами, команда Камри убедились, что EmoCrash сделал свой путь в руках национальной компьютерной аварийно-спасательных формирований (групп), которые затем распространяют его в компаниях в рамках их соответствующей юрисдикции.

По словам Джеймса хвостовик, главный архитектор команды Камри, компания имеет контакты с более чем 125 национальных и региональных команд сертификата, а также ведет список рассылки, через который он распространяет конфиденциальную информацию более чем 6000 членов. Кроме того, Team Cymru также проходит раз в две недели группа, посвященная работе с последней махинации вирусом по.

Эта широкая и хорошо организованная работа помогла EmoCrash сделать свой путь вокруг земного шара в течение последних шести месяцев.

Вирусом фиксирует свой код

В телефонном интервью на август. 14, Бинарные старший директор по оборонной Рэнди Pargman сказал инструмент намеренно не включает в себя модуль телеметрии не отговорить С от установки на свои сети.

Бинарные оборона никогда не можете знать, сколько с установленной EmoCrash, но сказал Pargman они получили много сообщений от компаний, которые предотвращают теракты, или обнаружен происходящие инциденты.

Однако, как Pargman и Куинн считают инструмента имела хоть какое-то влияние на деятельность вирусом, так как данное средство помогло снизить количество зараженных ботами доступна вирусом операторов.

Бинарных обороны не считают вирусом банда когда-нибудь узнает об их инструмент, но банда, скорее всего, почувствовал неладное. С февраля и последующих месяцев, вирусом, повторяемых по несколько новых версий и изменений в ее код. Не исправили проблему.

Случайно или нет, выяснить что-то было не так в его механизм сохранения, вирусом банды сделал, в конце концов, изменила всю его механизма сохраняемости на августа. 6 — ровно через шесть месяцев после того, как Куинн сделал его первоначального обнаружения.

EmoCrash не может больше быть полезна для всех, но в течение шести месяцев, этот крошечный скрипт PowerShell помогает организациям быть впереди действий вредоносного по-настоящему редкое зрелище в современном сфере кибер-безопасности.

И так как это всегда смешно, когда исследователи в области безопасности тролль операторы вредоносных программ, Куинн тоже пытался получить CVE для буфера вирусом переполняют ошибка из Митре, организации, которая отслеживает уязвимости различных программ.

К сожалению, Митре отказался назначить CVE с вирусом, который сделал бы это первым штамм вредоносных программ с собственным идентификатором CVE.

emotet-trolling.pngemotet-trolling.png


Изображения: Двойная Защита

15 из 15

Далее

Пред

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *