Атаките от зловредният код Cerber – сравнително ново семейство от типа ransomware(заключва потребителските файлове, като иска откуп за тяхното възстановяване), нашумя много в последните няколко месеца.
В тази статия, ще ви запознаем с някои от техниките, които използва този вид опаснст, за да поразява своите жертви.
В първата ни статия от тази поредицата „Истории на кибер-опасностите“ говорихме за използването на инструмента за Windows, известен като PowerShell с цел инфектиране на компютри с рансъмуер.
Ето и кратко резюме:
Може да стане по няколко различни начина, PowerShell е доста мощен инструмент. Един от най-простите начини за експлоатирането му е чрез изтеглянето на (зловреден софтуер) файл и стартирането му на компютъра. Powershell може да бъде изпълнен чрез скрипт, макроси, скрити в Office документи, или чрез дупка в сигурността на операционната система и нейното експлоатиране.
В повчето случаи Cerber, се стартира на потребителската машина посредством комплекти с експлойти.
През последните 3 месеца от Panda сме блокирани повече от +3,000 опити за инфекция, чрез PowerShell (опити да се изтегли и стартира зловреден софтуер (рансъмуер):
Виждаме, че всички тези опити са направени с Цербер. Въпреки, че е възможно и други семейства рансомуеър да използват подобни техники. Всички тези атаки са се случили през първите седмици на м.Юли.
Ако се върнем още по-назад във времето, от Октомври 2015г. до сега, става ясно, че за последните 10 месеца голям обем от подобни инфекции използват именно тези техники с Powershell.
Ето и списък с хешовете на няколко случайни проби от блокиран зловреден код Цербер:
Друг начин за изпълнение на Цербер на потребителските машини е чрез WMIC, команден ред на Windows Management Instrumentation (WMI).
Това, което ни прави впечатление е, че всички инфекции са се случили чрез експлойти на машини с работещ Internet Explorer. Зловредния код се сваля на компютъра, но не се изпълнява веднага.
Вместо това се използва WMIC за стартирането му. (WMIC е легитимна част от ОС Windows, целта е да се прикрие изпълнението на зловредния код).
За последните 4 седмици сме блокирали повече от 3к опити за инфекция с помощта на WMIC:
Ето и част от хешовете на зловреден код, който използва техниката с WMIC:
Очаквайте продължение…
Източник: Panda Media Center
За Panda Security
Превърнала се в един от водещите световни разработчици на решения за ИТ сигурност, Panda Security има представителства в 80 страни и милиони потребители в повече от 195 държави. Предлага продукти, адаптирани на 23 езика. Обновявайки решенията си компанията постоянно внедрява нови модели и технологии и повишава ефективността си в борбата с интернет заплахите. Благодарение на модула за сигурност Tru Prevent и технологията Collective Intelligence всяко решение предпазва максимално ценната ИТ информация, както от познати заплахи, така и от все още некласифицирани опасности. Panda Security се старае да улесни своите клиенти в съответствие с фирмения си девиз: „Една стъпка преди” всеки нов зловреден код (вирус, шпионски код, спам и др).
Panda Security си сътрудничи със Special Olympics, WWF и Invest for Children, което е част от корпоративната политика на фирмата за социално отговорно поведение.
За допълнителна информация:
Компютел ООД – Официален представител на Panda Security за България
София: 02/ 813 28 11
Пловдив: 032/ 62 16 08
Повече за Panda Security
office@computel.bg
plovdiv@computel.bg