bankowe malware BKDR_VAWTRAK wykorzystuje do ataku mechanizmy obronne Windows

[ichito]

Interesujące malware zostało wykryte i zanalizowane przez laboratorium Trend Micro - nazywa się ono BKDR_VAWTRAK, a zostało wykryte podczas ataku na japońskie banki. Mechanizm działania jest prosty i dość spektakularny, ponieważ wykorzystuje ono systemowy mechanizm SRP (Software Restriction Policies), którego ideą jest właśnie obniżanie uprawnień dla aplikacji, by nie narobiły w systemie szkody...w tym przypadku wykorzystując ten mechanizm, malware obniża uprawnienia programów zabezpieczających i w rezultacie je unieruchamia.
Cały trik polega na dodaniu przez malware wpisu w rejestrze

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\Paths\{generated GUID for the AV software} ItemData = “{AV software path}” SaferFlags = “0”

co skutkuje alertem systemowym o braku możliwości uruchomieniu pliku wykonawczego AV, jak na przykładzie poniżej

[Aby zobaczyć linki, zarejestruj się tutaj]

Ponieważ wpis ten działa na lokalizację %Program Files% and %All Users Profile%\Application , wygląda na to, że podatne na atakBKDR_VAWTRAK mogą być programy

a-squared Anti-Malware
a-squared HiJackFree
Agnitum
Alwil Software
AnVir Task Manager
ArcaBit
AVAST Software
AVG
avg8
Avira GmbH
Avira
BitDefender
BlockPost
Common Files\Doctor Web
Common Files\G DATA
Common Files\P Tools
Common Files\Symantec Shared
DefenseWall
DefenseWall HIPS
Doctor Web
DrWeb
ESET
f-secure
F-Secure\F-Secure Internet Security
FRISK Software
G DATA
K7 Computing
Kaspersky Lab Setup Files
Kaspersky Lab
Lavasoft
Malwarebytes
Malwarebytes’ Anti-Malware
McAfee
McAfee.com
Microsoft Security Client
Microsoft Security Essentials
Microsoft\Microsoft Antimalware
Norton AntiVirus
Online Solutions
P Tools Internet Security
P Tools
Panda Security
Positive Technologies
Sandboxie
Security Task Manager
Spyware Terminator
Sunbelt Software
Symantec
Trend Micro
UAenter
Vba32
Xore
Zillya Antivirus

Źródło

[Aby zobaczyć linki, zarejestruj się tutaj]

[nikita]

No i proszę. Mechanizm może i bardziej skomplikowany niż rodzimy pierwowzór (Visual Basic 6) podmieniający zawartość schowka systemowego przy kopiowaniu ciągu złożonego z 26 znaków (cyfr), który posłużył za bazę do napisania ulepszonej wersji malware w języku .NET. Ciekawą funkcjonalnością tego bankowego malware z przełomu 2013 i 2014 roku jest to, że nie zostawia śladów w rejestrze, a co za tym idzie - po ponownym uruchomieniu komputera nie ma po nim śladu (poza plikiem macierzystym udającym instalator Adobe Flash Player). Według badań "nabrało się" na to około 3000 osób. Biorąc pod uwagę to i powyższy wpis ichito... proste rozwiązania są nadzwyczajnie skuteczne dla cyberprzestępców. Więcej na ten temat poczytać można

[Aby zobaczyć linki, zarejestruj się tutaj]

i

[Aby zobaczyć linki, zarejestruj się tutaj]

(może nawet na forum już było, ale nie pamiętam).

Możliwe, że postęp technologiczny w prawie każdym aspekcie wykrywania zagrożeń zaczyna stanowić pewną barierę, na którą programiści malware muszę poświęcić stosunkowo dużo czasu, co nie zawsze może przekładać się na opłacalność (szczególnie w "przydomowych projektach"). Złośliwe oprogramowanie długo, długo ewoluowało i wykorzystywało mnóstwo technik ukrywania swoich składników, a teraz mały zwrot - wykorzystanie exploitów i wszystkich możliwych furtek, nawet tych, które z założenia bezpieczeństwo systemów miały zwiększać. Takie tam luźne dywagacje...

Ciekawe informacje, ichito, dzięki za wykopanie tego!

[zbc]

a-squared to teraz Emsisoft. Av (jeżeli wykryje) to malware przy otwieraniu, to przecież to szkodliwe oprogramowanie nie zaszkodzi. Jak ktoś jest zainfekowany, to skaner na rządanie może nie udać rady...

[tachion]

bankowe malware BKDR_VAWTRAK

Jakby ktoś chciał to próbki w labie.

[Aby zobaczyć linki, zarejestruj się tutaj]