Escolhendo uma nuvem de hospedagem parceiro com confiança
Algumas das melhores plataformas de detecção de ameaças do mundo foram ignorados por malware personalizado em uma demonstração da falibilidade de segurança de defesa única.
Cinco top-nomeado un avançada de ameaças de detecção de produtos foram testados contra quatro amostras de malware personalizado escrito por pesquisadores da Crysys Lab, Hungria.
O mais capaz das amostras de malware, BAB0 apelidado (ou 'Hobbit' na língua nativa dos pesquisadores), passou por cada produto ter infectado através de esteganografia imagem, um feito dentro das capacidades de criminosos experientes.
"Ele foi projetado para ser o mais furtivo possível, e utiliza vários métodos para evitar a detecção", escreveu sete pesquisadores do laboratório em um estudo intitulado Um teste independente de aparelhos de detecção de ataques APT .
"Na verdade, este caso de teste simula atacantes com recursos moderados e alguma compreensão das ferramentas de detecção de state-of-the-art e como avançado trabalho malware.
"Por exemplo, este pode simular criminosos organizados quando atacar alvos de alto valor."
BAB0 foi escrito em C ++ com um lado do servidor em PHP e nunca apareceu em claro no tráfego de rede, devido ao uso de esteganografia. Scripts puxou o executável a partir da imagem depois que os usuários clicado. O malware então abaixou caixas de areia com HTML ofuscado e código JavaScript.
Um programa de chamariz foi apresentada à vítima enquanto o hobbit saiu correndo de comando e controle de tráfego escondendo no trânsito HTML aparecendo como usuário clica.
Tipos de comandos enviados para BAB0 incluído passagem de diretório, transferência de arquivos e execução de comandos.
Outra oferta de malware menos sofisticado contornado três das plataformas sem nome, enquanto as ofertas básicas foram pegos de todos os cinco.
"A mensagem principal deste trabalho é que as ferramentas anti-APT novos pode ser contornado com esforço moderado", dizia o relatório.
"Se fomos capazes de desenvolver as amostras que não foram detectadas por essas ferramentas sem realmente ter acesso a qualquer um dos produtos testados durante a fase de desenvolvimento, então atacantes engenhosos que podem ser capazes de comprar estes produtos também será capaz de desenvolver amostras semelhantes, ou aqueles ainda melhor ".
Atacantes mais preguiçosos muito poderia sair para BAB0 a ser publicado em data posterior, um movimento destinado a ajudar a reforçar a tecnologia de segurança em empresas interessadas.
Os pesquisadores agora estavam ponderando um framework de testes para explorações do navegador de dia zero. ®
Nenhum comentário:
Postar um comentário