7 Elementos de Migração Radicalmente simples OS
Os pesquisadores detalharam uma forma rara de malware que mantém a infecção em máquinas e dados rouba sem instalar arquivos.
O malware reside apenas no registro do computador e, portanto, não é fácil de detectar.
O código atinge máquinas através de um documento malicioso Microsoft Word antes de criar uma chave escondida autostart codificado registro, malware pesquisador e chapéu preto exterminador Paul Rascagneres ( @ r00tbsd ) diz. Em seguida, cria e executa shellcode e uma carga útil do Windows binário.
"Todas as atividades são armazenadas no registro. Nenhum arquivo é já criado", disse Rascagneres em um poste .
"Então, os atacantes são capazes de burlar as técnicas de digitalização de arquivos anti-malware clássicos com tal abordagem e são capazes de realizar qualquer ação desejada quando atingem a camada mais interna [a máquina], mesmo depois de uma re-inicialização do sistema.
"Para impedir ataques como esse, soluções anti-vírus tem que quer pegar o documento inicial do Word antes de ser executado (se houver), de preferência antes de chegar caixa de entrada de e-mail do cliente."
O regedit do Windows não consegue ler ou abrir a entrada de chave não-ASCII. Rascagneres disse que o conjunto de recursos era semelhante a uma boneca Matryoshka, devido à sua subseqüente e contínua execução 'empilhados' de código.
O truque não-ASCII é uma ferramenta Microsoft usa para esconder seu código fonte de ser copiado, mas a característica mais tarde estava rachado.
Kit de segurança pode, alternativamente, detectar o software explorar, ou como um passo final monitorar o registro de comportamento incomum, disse ele.
Geeks de malware no KernelMode.info fórum no mês passado analisou uma amostra que explorava as falhas explicado em CVE-2012-0158 , que afetou os produtos da Microsoft, incluindo o Office .
Deviants distribuído o malware sob o pretexto de Canada Post e-mails supostamente transportando UPS informações de rastreamento.
"Esse truque evita um monte de ferramentas de processamento desta entrada malicioso em tudo e que poderia gerar uma série de problemas para as equipes de resposta a incidentes durante a análise. O mecanismo pode ser usado para iniciar qualquer programa no sistema infectado e isso torna muito poderosa ", disse Rascagneres.
Rascagneres tem feito um nome rasgando malware e bots para descobrir e prejudicar operações de chapéu preto. Ganhou últimos anos Pwnie Award na Black Hat em Las Vegas para rasgar através da infra-estrutura do grupo hacker chinês APT1.
Nenhum comentário:
Postar um comentário