back to top
25.8 C
Athens
Τετάρτη 23 Απριλίου 2025

Κακόβουλος κώδικας στα αρχεία καταγραφής συμβάντων

Σε μία πρόσφατη έρευνα, οι ειδικοί της Kaspersky αποκάλυψαν μια χαρακτηριστική στοχευμένη εκστρατεία κακόβουλου λογισμικού. Η δραστηριότητα ξεχωρίζει λόγω της καινοτόμου χρήσης των event logs των Windows για αποθήκευση κακόβουλου λογισμικού, της εντυπωσιακής ποικιλίας τεχνικών των επιτιθέμενων, όπως προσομοιωμένη επίθεση (pentesting) και anti-detection wrappers (εργαλεία αντιανίχνευσης) – συμπεριλαμβανομένων αυτών που έχουν δημιουργηθεί με το Go. Αρκετά Trojans τελικού σταδίου χρησιμοποιούνται κατά τη διάρκεια της εκστρατείας.     

Οι ειδικοί της Kaspersky εντόπισαν μια στοχευμένη εκστρατεία κακόβουλου λογισμικού που χρησιμοποιεί μια μοναδική τεχνική, κρύβοντας fileless κακόβουλο λογισμικό μέσα στα αρχεία καταγραφής συμβάντων των Windows. Η αρχική μόλυνση του συστήματος πραγματοποιήθηκε μέσω dropper module από ένα αρχείο που κατέβασε το θύμα. Ο εισβολέας χρησιμοποίησε μια ποικιλία από απαράμιλλα anti-detection wrappers για να κρατήσει τα Trojans τελικού σταδίου όσο το δυνατόν λιγότερο ορατά. Για να αποφευχθεί περαιτέρω ο εντοπισμός, ορισμένες μονάδες υπογράφηκαν με ψηφιακό πιστοποιητικό.

- Advertisement -

Οι επιτιθέμενοι χρησιμοποίησαν δύο τύπους Trojans για το τελευταίο στάδιο. Αυτά χρησιμοποιήθηκαν για να αποκτήσουν περαιτέρω πρόσβαση στο σύστημα, με τις εντολές από τους control servers να παραδίδονται με δύο τρόπους: μέσω επικοινωνιών δικτύου HTTP και μέσω εμπλοκής των ονομασμένων σωλήνων. Ορισμένες εκδόσεις Trojans κατάφεραν να χρησιμοποιήσουν ένα σύστημα εντολών που περιείχε δεκάδες εντολές από το C2.

Η καμπάνια περιελάμβανε επίσης εμπορικά εργαλεία pentesting, συγκεκριμένα τα SilentBreak και CobaltStrike. Συνδύαζε γνωστές τεχνικές με προσαρμοσμένους decryptors και την πρώτη παρατηρούμενη χρήση αρχείων καταγραφής συμβάντων των Windows για απόκρυψη μικρού κομματιού κώδικα (shellcodes) στο σύστημα. 

- Advertisement -

«Είμαστε μάρτυρες μιας νέας στοχευμένης τεχνικής κακόβουλου λογισμικού που τράβηξε την προσοχή μας. Για την επίθεση, ο φορέας κράτησε και στη συνέχεια εκτέλεσε έναν κρυπτογραφημένο shellcode από αρχεία καταγραφής συμβάντων των Windows. Αυτή είναι μια προσέγγιση που δεν έχουμε ξαναδεί και υπογραμμίζει τη σημασία της επαγρύπνησης σχετικά με τις απειλές που διαφορετικά θα μπορούσαν να σας πιάσουν απροετοίμαστους. Πιστεύουμε ότι αξίζει να προσθέσουμε την τεχνική καταγραφής συμβάντων στην ενότητα «αμυντική διαφυγή» του MITER matrix στο τμήμα “απόκρυψη τεχνουργημάτων”», αναφέρει ο Denis Legezo, επικεφαλής ερευνητής ασφάλειας στην Kaspersky. «Η χρήση αρκετών εμπορικών σουιτών pentesting δεν είναι επίσης κάτι το σύνηθες».

Για να μάθετε περισσότερα σχετικά με την τεχνική καταγραφής συμβάντων, επισκεφτείτε το Securelist.com.

Για να προστατευθείτε από fileless κακόβουλο λογισμικό και παρόμοιες απειλές, η Kaspersky συνιστά:

  • Χρήση αξιόπιστης λύσης ασφάλειας τερματικού σημείου. Μία εξειδικευμένη λειτουργία του Kaspersky Endpoint Security for Business μπορεί να εντοπίσει ανωμαλίες στη συμπεριφορά των αρχείων και να αποκαλύψει οποιαδήποτε δραστηριότητα fileless κακόβουλου λογισμικού.
  • Εγκατάσταση λύσεων anti-APT και EDR, που επιτρέπουν την ανακάλυψη και ανίχνευση απειλών, τη διερεύνηση και την έγκαιρη αποκατάσταση των δυνατοτήτων των περιστατικών. Επιπλέον, παρέχετε στην ομάδα SOC σας πρόσβαση στις πιο πρόσφατες πληροφορίες απειλών και αναβαθμίζετε τακτικά τις δεξιότητές τους με επαγγελματική εκπαίδευση. Όλα αυτά είναι διαθέσιμα στο πλαίσιο του Kaspersky Expert Security. 
  • Ενσωμάτωση κατάλληλης προστασίας τερματικού σημείου και εξειδικευμένων υπηρεσιών που μπορούν να βοηθήσουν στην προστασία από επιθέσεις υψηλού προφίλ. Η υπηρεσία Kaspersky Managed Detection and Response μπορεί να βοηθήσει στον εντοπισμό και τη διακοπή των επιθέσεων στα αρχικά τους στάδια, προτού οι επιτιθέμενοι μπορέσουν να επιτύχουν τους στόχους τους.

 

Σχετικές δημοσιεύσεις

Ημέρα Προστασίας Δεδομένων: Το κρυφό κόστος των εφαρμογών που χρησιμοποιούμε καθημερινά

Με αφορμή την Ημέρα Προστασίας Δεδομένων στις 28 Ιανουαρίου, η Kaspersky αναδεικνύει τους συμβιβασμούς στην πολιτική απορρήτου που επιβάλλουν οι δημοφιλείς και ευρέως χρησιμοποιούμενες...

Kaspersky: Αύξηση των επιθέσεων ransomware και spyware σε βιομηχανικά συστήματα ελέγχου το 2ο τρίμηνο του 2024

Η Kaspersky δημοσίευσε την έκθεσή της για το 2ο τρίμηνο του 2024 σχετικά με το τοπίο της ψηφιακής ασφάλειας για βιομηχανικά συστήματα ελέγχου

Το κόστος των cyber επιθέσεων

Στον σημερινό διασυνδεδεμένο κόσμο, οι κυβερνοεπιθέσεις είναι πιο συχνές και πιο επικίνδυνες από ποτέ. Οι επιχειρήσεις, ανεξάρτητα από το

30% περισσότεροι οι νεαροί gamers στο στόχαστρο κυβερνοεγκληματιών

Σύμφωνα με τους ειδικούς της Kaspersky, ο αριθμός των χρηστών που στοχοποιούνται από κυβερνοεγκληματίες που χρησιμοποιούν δημοφιλή

Από την ίδια κατηγορία δημοσιεύσεων

Οι ψηφιακοί κίνδυνοι που κρύβει η χρήση AI για τη δημιουργία action figures και χαρακτήρων Ghibli

Τις τελευταίες ημέρες μία νέα τάση έχει κατακλύσει το διαδίκτυο: Πρόκειται για εικόνες τύπου anime εμπνευσμένες από το Studio Ghibli και action figures που

Πώς να προστατευτείτε από τις απάτες σε περιόδους οικονομικής αστάθειας

Σε περιόδους οικονομικής αβεβαιότητας—λόγω δασμών, γεωπολιτικών γεγονότων, ή άλλων αναταράξεων στην αγορά—οι κίνδυνοι απάτης

Απάτες με NFC: Πώς χρησιμοποιούνται Apple Pay και Google Wallet για την κλοπή καρτών

Οι κυβερνοεγκληματίες επινοούν συνεχώς νέους τρόπους για να κλέβουν χρήματα από κάρτες πληρωμών, χρησιμοποιώντας στοιχεία

Οικονομικές κυβερνοαπειλές: 3,6 φορές επάνω το κακόβουλο λογισμικό στο mobile banking

Με την επέκταση των ψηφιακών συναλλαγών παγκοσμίως, το 2024 οι κυβερνοεγκληματίες έστρεψαν την προσοχή τους στις κινητές συσκευές

Δημοφιλή Άρθρα

Ροή Ειδήσεων

Η ΑΤΛΑΝΤΙΚΗ ΕΝΩΣΗ για τη συγχώνευση Baloise – Helvetia

Με ιδιαίτερη χαρά η ΑΤΛΑΝΤΙΚΗ ΕΝΩΣΗ Α.Ε.Γ.Α ανακοινώνει ότι ο μέτοχος μειοψηφίας Ελβετικός Όμιλος Baloise και ο Ελβετικός Όμιλος Helvetia πρόκειται να ενωθούν

Νέο δωρεάν ηλεκτρονικό σεμινάριο του EEA για τη γυναικεία επιχειρηματικότητα

Η Επιτροπή Γυναικείας Επιχειρηματικότητας του Επαγγελματικού Επιμελητηρίου Αθηνών διοργανώνει το δεύτερο κατά σειρά, δωρέαν, webinar

Μega – συγχώνευση στην ελβετική αγορά

Οι ελβετικοί ασφαλιστικοί όμιλοι Helvetia και Baloise αποκάλυψαν προ ολίγων ωρών τα σχέδια περί συγχώνευσής τους. Η εν λόγω κίνηση

Οι ψηφιακοί κίνδυνοι που κρύβει η χρήση AI για τη δημιουργία action figures και χαρακτήρων Ghibli

Τις τελευταίες ημέρες μία νέα τάση έχει κατακλύσει το διαδίκτυο: Πρόκειται για εικόνες τύπου anime εμπνευσμένες από το Studio Ghibli και action figures που

Ολα για την προστασία των επιχειρήσεων παίζονται τώρα

Η κυβέρνηση έχει πολλά γερά χαρτιά στα χέρια της για να διαχειριστεί τους κινδύνους. Με αυτά τα χαρτιά περιμένουμε να κάνει τα επόμενα της βήματα ...