09.10.2015, 13:55
Kilka dni temu badacze z firmy enSilo opublikowali informacje na temat odkrycia nowego i mocno zaawansowanego szkodnika, którego nazwano Moker. Szkodnik dotąd nie był notowany w bazach, a jego działanie metody działania są przemyślane, wyrafinowane i...nie da się ukryć...skuteczne.
Wg autorów zgłoszenia Moker jest wyjątkowy z 4 podstawowych powodów:
- omija skutecznie dedykowane zapewnieniu bezpieczeństwa środki systemowe i dodatkowo instalowane jak UAC, programy AV, piaskownice i maszyny wirtualne
- uzyskuje wysokie uprawnienia/przywileje do zmiany głębokich ustawień systemowych poprzez podszywanie się pod prawidłowe procesy
- do działania nie wymaga połączenia się z zewnętrznymi serwerami C&C - uruchamia własny ukryty "panel kontrolny"
- potrafi oszukiwać narzędzia analityczne unikając w ten sposób wykrycia i analizy kodu.
Skutki jego działania to m.in.:
- przejmuje całkowitą kontrolę nad systemem dzięki utworzeniu nowego własnego konta użytkownika, tworzy kanał zdalnej nad maszyną kontroli
- modyfikuje wrażliwe pliki systemowe i ustawienia systemu związane m.in. z bezpieczeństwem
- robi zrzuty ekranu, rejestruje ruch sieciowy, przechwytuje aktywność z klawiatury
- wstrzykuje swój kod do procesów systemowych w celu osiągnięcia możliwości uruchamiania się razem z nimi.
Źródło
Wg autorów zgłoszenia Moker jest wyjątkowy z 4 podstawowych powodów:
- omija skutecznie dedykowane zapewnieniu bezpieczeństwa środki systemowe i dodatkowo instalowane jak UAC, programy AV, piaskownice i maszyny wirtualne
- uzyskuje wysokie uprawnienia/przywileje do zmiany głębokich ustawień systemowych poprzez podszywanie się pod prawidłowe procesy
- do działania nie wymaga połączenia się z zewnętrznymi serwerami C&C - uruchamia własny ukryty "panel kontrolny"
- potrafi oszukiwać narzędzia analityczne unikając w ten sposób wykrycia i analizy kodu.
Skutki jego działania to m.in.:
- przejmuje całkowitą kontrolę nad systemem dzięki utworzeniu nowego własnego konta użytkownika, tworzy kanał zdalnej nad maszyną kontroli
- modyfikuje wrażliwe pliki systemowe i ustawienia systemu związane m.in. z bezpieczeństwem
- robi zrzuty ekranu, rejestruje ruch sieciowy, przechwytuje aktywność z klawiatury
- wstrzykuje swój kod do procesów systemowych w celu osiągnięcia możliwości uruchamiania się razem z nimi.
Źródło
[Aby zobaczyć linki, zarejestruj się tutaj]
Analiza Mokera[Aby zobaczyć linki, zarejestruj się tutaj]
