KOVTER: Шкідливе програмне забезпечення, що розвивається, стало безфайловим

Хоча велика кількість шкідливих програм приходить і йде, рідко продовжуються після їх початкових кампаній, деякі з них залишалися сильними протягом багатьох років. Загальною особливістю найстійкіших шкідливих програм є їх здатність еволюціонувати: їх початкові методи зараження, поведінка та корисне навантаження рідко залишаються незмінними.

KOVTER (визначається Trend Micro як сімейство KOVTER) є одним із прикладів шкідливого програмного забезпечення, що постійно розвивається. Спочатку почавшись як поліцейське програмне забезпечення-вимагач, воно з часом перетворилося на набагато більш ефективне та ухильне безфайлове шкідливе програмне забезпечення. Ось більш детальний погляд на KOVTER, а також поради про те, як організації можуть зменшити його вплив в разі зараження.

Як розвивався KOVTER за ці роки?

Шкідливе програмне забезпечення, відоме як KOVTER, зазнало різних змін протягом свого життя.

Найперші повідомлення про шкідливе програмне забезпечення прив’язували його до поліцейського програмного забезпечення-вимагача, де воно залишалося в цільовій системі в очікуванні слушної можливості — зазвичай, коли користувач завантажував незаконні файли. Після спрацьовування він сповіщає користувача про незаконну діяльність разом із «штрафом», який прирівнюється до його вимоги викупу. Однак ця рання версія не була занадто ефективною, так як вимагала правильного набору умов і легко могла бути виявлена і видалена.

Другим, і, мабуть, найпомітнішим варіантом KOVTER було шкідливе програмне забезпечення для шахрайства з кліками. Цей варіант використовував ін’єкцію коду, щоб заразити свою ціль, після чого він вкрав інформацію, яку потім надіслав на свої сервери Command & Control (C&C).

У 2015 році KOVTER знову перетворився на безфайлове шкідливе ПЗ, що він і зробив за допомогою установки записів реєстру автозапуску. Він розвивався далі в 2016 році, додавши компоненти файлів і записи реєстру, які використовували техніку нересту оболонки для зчитування шкідливого запису реєстру.

Як працює нинішній варіант KOVTER?

Одним з найпоширеніших методів зараження KOVTER є вкладення, що надходять від шкідливого спаму на основі макросів. Після клацання зловмисного вкладення — зазвичай скомпрометованих файлів Microsoft Office зловмисне програмне забезпечення інсталює ярлик, пакетний файл і випадковий файл із випадковим розширенням файлу в папку з випадковим ім’ям, яка зазвичай знаходиться у %Application Data% або %AppDataLocal%. Записи реєстру на основі випадкового розширення файлу також встановлюються в Класі Root, щоб направити виконання випадкового файлу на читання запису реєстру. Ці компоненти використовуються для виконання техніки створення оболонок шкідливого програмного забезпечення.

Для наступної частини створюється запис реєстру для випадкового файлу, що містить шкідливі скрипти, які виконують процеси KOVTER. Це означає, що в момент перезавантаження зараженої машини або спрацьовування ярлика або пакетних файлів, в пам’ять завантажується шкідливий скрипт в записі реєстру. Шкідливий скрипт містить код оболонки, який шкідливе ПО вводить в процес PowerShell. Потім код оболонки розшифрує запис реєстру, розташований у тому ж розділі реєстру. Цей запис реєстру являє собою двійковий файл, який вводиться в нерестовий процес (зазвичай regsvr32.exe). Породжений regsvr32.exe потім намагатиметься підключити різні URL-адреси як частину своєї діяльності з шахрайства з кліками.

Після встановлення всіх цих компонентів файлу та записів реєстру шкідливе програмне забезпечення породжує процес сторожового пса, який постійно контролює існування цих компонентів.

Як організації можуть пом’якшити вплив KOVTER?

З огляду на свою майже безфайлову техніку, KOVTER стало набагато складніше виявляти і пом’якшувати. Однак є деякі речі, які організації можуть зробити, щоб пом’якшити вплив шкідливого програмного забезпечення. Ось кілька прикладів ефективних методів пом’якшення наслідків:

  • У зв’язку з надходженням через спам-пошту організація повинна розглянути питання впровадження політики, яка захищає від загроз електронною поштою. Це включає в себе налаштування фільтрів захисту від спаму, які можуть блокувати шкідливі електронні листи ще до того, як вони зможуть дістатися до кінцевого користувача.
  • Один з найпростіших і ефективних способів зупинити безфайлове шкідливе ПЗ – застосувати оновлення безпеки, як тільки вони будуть доступні. Організації повинні переконатися, що їхні системи мають останні оновлення, щоб запобігти зараженню безфайловим зловмисним програмним забезпеченням, особливо тими, які використовують вразливості.
  • PowerShell часто зловживає безфайловим шкідливим програмним забезпеченням, тому організації повинні вжити необхідних запобіжних заходів для захисту цього компонента. Це включає в себе реалізацію кроків щодо правильного використання PowerShell в операційних або хмарних середовищах. Організації також можуть перераховувати тригери для виявлення, які можуть базуватися на командах, які, як відомо, використовуються шкідливими скриптами PowerShell. Наприклад, суб’єкти загрози часто використовують символ “^”, щоб приховати свої параметри командного рядка під час виклику PowerShell. Організації також можуть розглянути можливість відключення самої PowerShell, якщо це необхідно.
  • Хоча безфайлове зловмисне програмне забезпечення важче виявити, організації все одно повинні докласти зусиль для моніторингу та захисту всіх своїх кінцевих точок. Використання брандмауерів і рішень, які можуть відстежувати вхідний і вихідний мережевий трафік, може значно запобігти зараженню організації безфайловим шкідливим програмним забезпеченням.
  • Нарешті, організації повинні впровадити багатошарові рішення безпеки, такі як Trend Micro™ Deep Discovery™, які забезпечують виявлення, глибокий аналіз і проактивну реакцію на сьогоднішнє приховане шкідливе програмне забезпечення і цілеспрямовані атаки в режимі реального часу. Він забезпечує комплексний захист, розроблений для захисту організацій від цілеспрямованих атак і передових загроз за допомогою спеціалізованих двигунів, спеціальної пісочниці та безперебійної кореляції протягом усього життєвого циклу атаки. Крім того, Trend Micro™ Deep Security™ і Vulnerability Protection забезпечують віртуальне виправлення, яке захищає кінцеві точки від загроз, які зловживають вразливостями. Захист від вразливостей OfficeScan захищає кінцеві точки від виявлених і невідомих експлойтів вразливостей ще до розгортання патчів.

Істочник: www.trendmicro.com

Дати оцінку данній статті

Про автора

Додати коментар

Недавні записи