«Glupteba» использует продвинутые способы сокрытия заражения

25 июня 2020 г. 14:34
 7450

В новой версии вредоносного ПО были применены некоторые необычные меры самосокрытия.

«Glupteba» создает бэкдоры в зараженных системах на базе ОС «Windows» и исследователи считают, что киберпреступникам будет предложено использовать его в качестве простого средства распространения других вредоносных программ.

В новой версии вредоносного ПО, обеспечивающего атакующему полный доступ к скомпрометированным машинам с ОС «Windows» и добавляющего их в растущий ботнет, были применены некоторые необычные меры самосокрытия.

Впервые «Glupteba» появился в 2018 году. На старте создатели делали ставку на заражение как можно большего количества машин и незаметное создание бэкдоров в операционных системах.

Вредоносная программа постоянно улучшается и дорабатывается. В последние несколько месяцев она получила обновление ​​с новыми методами и тактиками защиты от обнаружения. Об этом сообщили исследователи кибербезопасности компании «Sophos».

В отчете «Sophos», «Glupteba» описывается как «самообороняющееся вредоносное ПО», за которым стоит киберпреступная группа, уделяющая особое внимание «улучшению функционала, позволяющего вредоносным программам уклоняться от обнаружения».

Метод распространения «Glupteba» относительно прост: он входит в состав пиратского программного обеспечения, например, во взломанные версии коммерческих приложений или нелегальные раздачи видеоигр. Идея состоит в том, чтобы просто заставить как можно больше пользователей загружать скомпрометированные приложения, которые содержат в себе код вредоноса.

Чтобы обеспечить наилучшие шансы успешной компрометации, вредоносное ПО побитово сбрасывается в систему, что позволяет избежать обнаружения любым антивирусным программным обеспечением. Вредонос также использует уязвимость «EternalBlue SMB» чтобы скрытно распространяться по сетям.

Это еще не все применяемые методы, даже после установки «Glupteba» старается остаться незамеченным.

«Создатели, похоже, проделали огромную работу, направленную на усиление скрытности бэкдора по сравнению с другими вредоносными программами», - сообщил «ZDNet» Эндрю Брандт, главный исследователь «Sophos».

«Glupteba» использует ряд программных эксплойтов для повышения привилегий. В первую очередь, это установка kernel-драйвера, который бот использует как в качестве руткита, так и для внесения в операционную систему прочих изменений, ослабляющих безопасность зараженного хоста.

По сообщению «Sophos», руткит настраивает поведение файловой системы таким образом, чтобы оно было невидимым для конечного пользователя компьютера, а также защищает любой файл, который вредоносная программа решает сохранить в своем каталоге. Затем процесс-наблюдатель мониторит руткит и другие компоненты на признаки отказа или сбоя, и может повторно инициализировать драйвер руткита или перезапустить неисправный компонент.

«Они придумали довольно запутанный метод сокрытия обновлений адресов CnC-серверов, добавляя эти обновления в виде зашифрованных данных, привязанных к транзакциям в цепочке bitcoin» - добавил Эндрю Брандт.

Последняя кампания «Glupteba» описана как относительно плодотворная. Она ставит под угрозу большое количество компьютеров.

В настоящее время, основной деятельностью «Glupteba» является майнинг криптовалют, но сам факт создания бэкдоров и объединения зараженных машин в ботнет, указывает на то, что конечной целью является сдача ботнета в аренду в качестве средства распространения других форм вредоносного ПО.

«Я бы сказал, что злоумышленники намерены позиционировать себя как провайдера вредоносных программ, как поставщика услуг другим производителям вредоносного ПО. Тем, которые ценят долговечность заражения и скрытность, в отличие от стремительно развивающихся атак, например, вымогателей», - сообщил Эндрю Брандт.

То, как создатели «Glupteba» регулярно исправляют любые обнаруженные ошибки, или сбои также свидетельствует о том, что они стремятся поддерживать как можно более стабильную работу вредоноса в будущем.

Кампания по распространению «Glupteba» все еще активна и набирает все больше машин в ботнет. Самый простой на данный момент способ избежать атаки - это установить критическое обновление безопасности, выпущенное для защиты от уязвимости «EternalBlue SMB». Microsoft выпустила исправление в 2017 году, но уязвимость «EternalBlue SMB» остается актуальной из-за значительного числа систем Microsoft Windows без обновлений по всему миру. Пользователи также должны с осторожностью устанавливать приложения, полученные из ненадежных источников (особенно взломанные).

«Обычные общие меры предосторожности применяются здесь так же, как и везде: не запускайте то, что запускать не следует, держите свои системы пропатченными и убедитесь, что на вашем компьютере есть какая-то защита от вредоносных программ» - сказал Эндрю Брандт.

 

Перевод сделан со статьи https://www.zdnet.com/