back to top
13.8 C
Athens
Πέμπτη 3 Απριλίου 2025

Κακόβουλος κώδικας στα αρχεία καταγραφής συμβάντων

Σε μία πρόσφατη έρευνα, οι ειδικοί της Kaspersky αποκάλυψαν μια χαρακτηριστική στοχευμένη εκστρατεία κακόβουλου λογισμικού. Η δραστηριότητα ξεχωρίζει λόγω της καινοτόμου χρήσης των event logs των Windows για αποθήκευση κακόβουλου λογισμικού, της εντυπωσιακής ποικιλίας τεχνικών των επιτιθέμενων, όπως προσομοιωμένη επίθεση (pentesting) και anti-detection wrappers (εργαλεία αντιανίχνευσης) – συμπεριλαμβανομένων αυτών που έχουν δημιουργηθεί με το Go. Αρκετά Trojans τελικού σταδίου χρησιμοποιούνται κατά τη διάρκεια της εκστρατείας.     

Οι ειδικοί της Kaspersky εντόπισαν μια στοχευμένη εκστρατεία κακόβουλου λογισμικού που χρησιμοποιεί μια μοναδική τεχνική, κρύβοντας fileless κακόβουλο λογισμικό μέσα στα αρχεία καταγραφής συμβάντων των Windows. Η αρχική μόλυνση του συστήματος πραγματοποιήθηκε μέσω dropper module από ένα αρχείο που κατέβασε το θύμα. Ο εισβολέας χρησιμοποίησε μια ποικιλία από απαράμιλλα anti-detection wrappers για να κρατήσει τα Trojans τελικού σταδίου όσο το δυνατόν λιγότερο ορατά. Για να αποφευχθεί περαιτέρω ο εντοπισμός, ορισμένες μονάδες υπογράφηκαν με ψηφιακό πιστοποιητικό.

- Advertisement -

Οι επιτιθέμενοι χρησιμοποίησαν δύο τύπους Trojans για το τελευταίο στάδιο. Αυτά χρησιμοποιήθηκαν για να αποκτήσουν περαιτέρω πρόσβαση στο σύστημα, με τις εντολές από τους control servers να παραδίδονται με δύο τρόπους: μέσω επικοινωνιών δικτύου HTTP και μέσω εμπλοκής των ονομασμένων σωλήνων. Ορισμένες εκδόσεις Trojans κατάφεραν να χρησιμοποιήσουν ένα σύστημα εντολών που περιείχε δεκάδες εντολές από το C2.

Η καμπάνια περιελάμβανε επίσης εμπορικά εργαλεία pentesting, συγκεκριμένα τα SilentBreak και CobaltStrike. Συνδύαζε γνωστές τεχνικές με προσαρμοσμένους decryptors και την πρώτη παρατηρούμενη χρήση αρχείων καταγραφής συμβάντων των Windows για απόκρυψη μικρού κομματιού κώδικα (shellcodes) στο σύστημα. 

- Advertisement -

«Είμαστε μάρτυρες μιας νέας στοχευμένης τεχνικής κακόβουλου λογισμικού που τράβηξε την προσοχή μας. Για την επίθεση, ο φορέας κράτησε και στη συνέχεια εκτέλεσε έναν κρυπτογραφημένο shellcode από αρχεία καταγραφής συμβάντων των Windows. Αυτή είναι μια προσέγγιση που δεν έχουμε ξαναδεί και υπογραμμίζει τη σημασία της επαγρύπνησης σχετικά με τις απειλές που διαφορετικά θα μπορούσαν να σας πιάσουν απροετοίμαστους. Πιστεύουμε ότι αξίζει να προσθέσουμε την τεχνική καταγραφής συμβάντων στην ενότητα «αμυντική διαφυγή» του MITER matrix στο τμήμα “απόκρυψη τεχνουργημάτων”», αναφέρει ο Denis Legezo, επικεφαλής ερευνητής ασφάλειας στην Kaspersky. «Η χρήση αρκετών εμπορικών σουιτών pentesting δεν είναι επίσης κάτι το σύνηθες».

Για να μάθετε περισσότερα σχετικά με την τεχνική καταγραφής συμβάντων, επισκεφτείτε το Securelist.com.

Για να προστατευθείτε από fileless κακόβουλο λογισμικό και παρόμοιες απειλές, η Kaspersky συνιστά:

  • Χρήση αξιόπιστης λύσης ασφάλειας τερματικού σημείου. Μία εξειδικευμένη λειτουργία του Kaspersky Endpoint Security for Business μπορεί να εντοπίσει ανωμαλίες στη συμπεριφορά των αρχείων και να αποκαλύψει οποιαδήποτε δραστηριότητα fileless κακόβουλου λογισμικού.
  • Εγκατάσταση λύσεων anti-APT και EDR, που επιτρέπουν την ανακάλυψη και ανίχνευση απειλών, τη διερεύνηση και την έγκαιρη αποκατάσταση των δυνατοτήτων των περιστατικών. Επιπλέον, παρέχετε στην ομάδα SOC σας πρόσβαση στις πιο πρόσφατες πληροφορίες απειλών και αναβαθμίζετε τακτικά τις δεξιότητές τους με επαγγελματική εκπαίδευση. Όλα αυτά είναι διαθέσιμα στο πλαίσιο του Kaspersky Expert Security. 
  • Ενσωμάτωση κατάλληλης προστασίας τερματικού σημείου και εξειδικευμένων υπηρεσιών που μπορούν να βοηθήσουν στην προστασία από επιθέσεις υψηλού προφίλ. Η υπηρεσία Kaspersky Managed Detection and Response μπορεί να βοηθήσει στον εντοπισμό και τη διακοπή των επιθέσεων στα αρχικά τους στάδια, προτού οι επιτιθέμενοι μπορέσουν να επιτύχουν τους στόχους τους.

 

Σχετικές δημοσιεύσεις

Ημέρα Προστασίας Δεδομένων: Το κρυφό κόστος των εφαρμογών που χρησιμοποιούμε καθημερινά

Με αφορμή την Ημέρα Προστασίας Δεδομένων στις 28 Ιανουαρίου, η Kaspersky αναδεικνύει τους συμβιβασμούς στην πολιτική απορρήτου που επιβάλλουν οι δημοφιλείς και ευρέως χρησιμοποιούμενες...

Kaspersky: Αύξηση των επιθέσεων ransomware και spyware σε βιομηχανικά συστήματα ελέγχου το 2ο τρίμηνο του 2024

Η Kaspersky δημοσίευσε την έκθεσή της για το 2ο τρίμηνο του 2024 σχετικά με το τοπίο της ψηφιακής ασφάλειας για βιομηχανικά συστήματα ελέγχου

Το κόστος των cyber επιθέσεων

Στον σημερινό διασυνδεδεμένο κόσμο, οι κυβερνοεπιθέσεις είναι πιο συχνές και πιο επικίνδυνες από ποτέ. Οι επιχειρήσεις, ανεξάρτητα από το

30% περισσότεροι οι νεαροί gamers στο στόχαστρο κυβερνοεγκληματιών

Σύμφωνα με τους ειδικούς της Kaspersky, ο αριθμός των χρηστών που στοχοποιούνται από κυβερνοεγκληματίες που χρησιμοποιούν δημοφιλή

Από την ίδια κατηγορία δημοσιεύσεων

Οικονομικές κυβερνοαπειλές: 3,6 φορές επάνω το κακόβουλο λογισμικό στο mobile banking

Με την επέκταση των ψηφιακών συναλλαγών παγκοσμίως, το 2024 οι κυβερνοεγκληματίες έστρεψαν την προσοχή τους στις κινητές συσκευές

Oμάδα ransomware εκβιάζει με δημοσιοποίηση προσωπικών δεδομένων

Η Παγκόσμια Ομάδα Έρευνας και Ανάλυσης της Kaspersky (GReAT) ανακάλυψε ότι η ομάδα Fog Ransomware, γνωστή για τις επιθέσεις σε διάφορους

Deloitte: Kαινοτόμο εργαλείο αξιολογεί την ετοιμότητα των επιχειρήσεων στην AI

Η Deloitte συστήνει στην ελληνική αγορά το AI Readiness & Management Framework – aiRMF, ένα καινοτόμο εργαλείο που βοηθά τις επιχειρήσεις

Οι κίνδυνοι των AI assistants ανοιχτού κώδικα

Παρόλο που το DeepSeek δεν παρέχει συγκεκριμένες λεπτομέρειες για το είδος της επίθεσης που αντιμετωπίζει, είναι σημαντικό να αναγνωρίσουμε

Δημοφιλή Άρθρα

Ροή Ειδήσεων

Ερώτηση σφήνα: Πώς περιμένουν να αυξήσουν τα μερίδια τους οι ασφαλιστικές;

Η απάντηση στην ερώτηση σφήνα του Ανασφάλιστου για πως περιμένουν να αναπτυχθούν οι ασφαλιστικές  δεν μπορεί να είναι μόνο μία, είναι πολλές

Αυξάνεται η δυσαρέσκεια των πολιτών για το ΕΣΥ-Τι δείχνει έρευνα της GPO για τον ΠΙΣ

Παρά τις εξαγγελίες και τις προσπάθειες του Άδωνι Γεωργιάδη και της κυβέρνησης, αυξάνεται η δυσαρέσκεια των πολιτών για το δημόσιο σύστημα υγείας

«Να ξαναγίνουμε ο εθνικός πρωταθλητής στην Ιδιωτική Ασφάλιση» το μήνυμα που Δ. Μαζαράκη από το βήμα της Επιθεώρησης Χρυσολόγου

«Δημιουργώντας… αστέρια»! Αυτό τον τίτλο επέλεξε φέτος η Επιθεώρηση του κ. Χρήστου Χρυσολόγου, δεδομένης της σταθερής δυναμικής της

H EUROINS Ελλάδος μέγας χορηγός του «13ΟY KALLITHEA RUN»

Για 13η συνεχόμενη χρονιά, η Ασφαλιστική Εταιρεία Euroins Ελλάδος στηρίζει έναν θεσμό που φέρνει κοντά τους κατοίκους της Καλλιθέας

Brokers Union: € 36 εκατ. παραγωγή, 15% αύξηση, ισχυρή ανάπτυξη στον κλάδο Ζωής & Υγείας

Η Brokers Union επιβεβαιώνει τη σταθερή της ανάπτυξη, κλείνοντας το 2024 με 36 εκατ. € καθαρή παραγωγή (συν δικαίωμα) και 15% αύξηση ασφαλίστρων.