• Добро пожаловать в Пиратскую Бухту! Чтобы получить полный доступ к форуму пройдите регистрацию!
  • Гость, стой!

    В бухте очень не любят флуд и сообщения без смысловой нагрузки!
    Чтобы не получить бан, изучи правила форума!

    Если хотите поблагодарить автора темы, или оценить реплику пользователя, для этого есть кнопки: "Like" и "Дать на чай".

Новости Новую вредоносную программу Beep практически невозможно обнаружить

Пригоршня

Штурман
Бродяга
Регистрация
26.10.16
Сообщения
2,233
Онлайн
38д 4ч 33м
Сделки
251
Нарушения
0 / 0
Montserrat Semi-Bold.png

На прошлой неделе аналитиками компании Minerva была обнаружена новая скрытая вредоносная программа под названием «Beep», обладающая множеством функций, позволяющих избежать анализа и обнаружения программным обеспечением безопасности.

Хотя вредонос Beep всё ещё находится в разработке и в нём пока отсутствуют несколько ключевых функций, в настоящее время он уже позволяет злоумышленникам загружать и выполнять дополнительные полезные нагрузки на скомпрометированных устройствах. Beep используется в первую очередь для кражи информации. Для работы программы задействуется три отдельных компонента: дроппер, инжектор и полезная нагрузка.

Дроппер («big.dll») создаёт новый раздел реестра со значением «AphroniaHaimavati», который содержит сценарий PowerShell в кодировке base64. Этот сценарий запускается каждые 13 минут с помощью запланированной задачи Windows.

Когда скрипт выполняется, он загружает данные и сохраняет их в инжектор с названием AphroniaHaimavati.dll. Инжектор — это компонент, который использует ряд методов защиты от отладки и защиты от виртуальных машин для внедрения полезной нагрузки в законный системный процесс «WWAHost.exe» с помощью «опустошения процесса» («Process Hollowing»), чтобы избежать обнаружения антивирусными средствами, запущенными на хосте.

Наконец, основная полезная нагрузка пытается собрать данные со взломанного компьютера, зашифровать их и отправить на C2-сервер. Во время анализа специалистами Minerva, жёстко прописанный в коде C2-сервер был отключен, но вредоносная программа пыталась подключиться к нему даже после 120 неудачных попыток.

Что отличает вредоносную программу Beep от других, так это использование множества методов на протяжении всего процесса выполнения, чтобы избежать обнаружения и анализа антивирусными решениями и исследователями кибербезопасности. Специалисты Minerva обнаружили 8 различных техник, которые вредонос применяет в своей работе, и подробно описали их в своём отчёте.

Beep — это пример вредоносного ПО, которое в значительной степени ориентировано на уклонение, внедряющее сразу несколько механизмов антианализа, прежде чем завершить процесс кражи данных и выполнения вредоносных команд. Хотя в реальных атаках он встречается редко, Beep в будущем может стать серьёзной угрозой, на которую следует обратить внимание уже сейчас.
 
Сверху