Multifunkciós vírus támadja a számítógépeket

Egy igencsak összetett kártékony programra derült fény, amely tulajdonképpen egy teljes támadókészletet foglal magában. Nem lenne nehéz meggátolni a terjedését, de ez valamiért mégsem igazán sikerül.
 

A Trend Micro biztonsági kutatói egy igencsak érdekes kártékony programot vettek alaposabban is szemügyre. A vizsgálataik során hamar kiderült, hogy egy összetett szerzeményről van szó, amely többlépcsős támadásokat hajt végre. Nyilván mindez a víruselemzést is megnehezítette, de végül kialakult a teljes kép a károkozóról.
 
Támadás több lépésben
 
Az ártalmas program első lépésként egy adatlopásra kiélezett programot telepít fel. Ezáltal elsősorban alapvető rendszerinformációkhoz jut, amiket kiszivárogtat a terjesztői számára. Egyúttal pedig a vezérlőszerveréről letölt egy további programot, amelyet telepít. Ekkor egy MIMIKATZ trójait juttat fel a rendszerre.
 
A MIMIKATZ-nak ezúttal a Python alapú verziója jut szerephez, és rögtön megpróbálja kihasználni az MS17-010-es biztonsági közleményben ismertetett Windows-os (SMB) sérülékenységet. Ezt a hibát a Microsoft már 2017-ben orvosolta, így leginkább azok a számítógépek vannak kiszolgáltatva a károkozóval szemben, amelyek nem tartalmazzák a biztonsági frissítéseket. Fontos megjegyezni, hogy ilyenkor nem kizárólag egy-egy rendszer kerül veszélybe, mivel a károkozó féregszerű terjedésre lehetőséget adó képességei miatt a helyi hálózatban működő további kiszolgálók és PC-k ostromlása is megkezdődik.
 
A MIMIKATZ további feladata, hogy letöltsön egy titkosított állományt, amelyből a dekódolást követően egy Monero bányászatra alkalmas nemkívánatos program kerül elő. Amikor ez elkezdi a kriptobányászatot, akkor a fertőzött számítógép jelentősen lelassulhat. A támadás során a Radmin hacker eszköz is szerephez jut, és jogosulatlan hozzáférést biztosíthat a térdre kényszerített rendszerekhez.
 
Miért nem sikerült elkapni?
 
A Trend Micro által felfedezett kártékony program tehát alkalmas adatlopásra, vírusterjesztésre, hátsó kapu kiépítésére és kriptopénzek bányászatára is. Felmerülhet a kérdés, hogy a vírusírók elsősorban miért nem ilyen, multifunkciós programokat írnak? Többek között azért nem ezt az irányt követik, mert minél több összetevővel, szolgáltatással rendelkezik egy károkozó, annál nagyobb valószínűséggel bukik le valamely védelmi technológia által. Ebből a szempontból az új szerzemény talán még a kutatókat is meglepte, hiszen a MIMIKATZ és a Radmin is jól ismert a víruskeresők számára, a károkozó mégis több hónapig terjedhetett észrevétlenül. A detektálását követően kiderült, hogy már fertőzött Tajvanon, Kínában, Hongkongban, sőt már Európába is eljutott (eddig elsősorban Olaszországban okozott problémákat).
 
Védekezés

Az új károkozó ellen elsősorban naprakészen tartott, korszerű víruskeresőkkel lehet felvenni a küzdelmet. Emellett azonban fontos a biztonsági frissítések rendszeres telepítése és a biztonságtudatos netezés is.
Vélemények
 
  1. 3

    A Vivotek firmware frissítést adott ki egyes IP-kameráihoz.

  2. 3

    A Dell EMC RSA Archer két sérülékenységtől vált meg a legújabb frissítéseinek köszönhetően.

  3. 1

    A Priwidd trójai egy hátsó kaput létesít a fertőzött számítógépeken, és egy webszerverről fogadja a támadók utasításait.

 
Partnerhírek
Hamis szerelem a Facebookon

Tragédiába torkollott egy facebookos kamuprofil körüli eset, a féltékeny férj lelőtte az online csalók áldozatául esett feleségét.

A mobilbiztonság helyzete 2019 első félévében

Az ESET átfogó áttekintést készített arról, hogyan alakult a mobilbiztonsági helyzete a 2019-es esztendő első félévében.

hirdetés
Közösség
1