Νέο malware χωρίς αρχεία χρησιμοποιεί το μητρώο των Windows ως αποθηκευτικό χώρο για να αποφύγει την ανίχνευση

[nnn]

Ένα νέο Trojan απομακρυσμένης πρόσβασης (RAT) που βασίζεται σε JavaScript και διαδίδεται μέσω μιας εκστρατείας κοινωνικής μηχανικής, έχει παρατηρηθεί ότι χρησιμοποιεί ύπουλες τεχνικές "χωρίς αρχεία" ως μέρος των μεθόδων αποφυγής εντοπισμού για να αποφύγει την ανακάλυψη και την ανάλυση.

Με την ονομασία DarkWatchman από τους ερευνητές της Ομάδας (PACT) της Prevailion, το κακόβουλο λογισμικό χρησιμοποιεί έναν ανθεκτικό αλγόριθμο δημιουργίας τομέων (DGA) για τον εντοπισμό της υποδομής εντολών και ελέγχου (C2) και χρησιμοποιεί το μητρώο των Windows για όλες τις λειτουργίες αποθήκευσης, επιτρέποντάς του έτσι να παρακάμπτει τις μηχανές antimalware.

Το RAT "χρησιμοποιεί νέες μεθόδους για τη διατήρηση χωρίς αρχεία, τη δραστηριότητα στο σύστημα και τις δυναμικές δυνατότητες εκτέλεσης, όπως η αυτο-ενημέρωση και η επανασύνταξη", δήλωσαν οι ερευνητές Matt Stafford και Sherman Smith, προσθέτοντας ότι "αντιπροσωπεύει μια εξέλιξη στις τεχνικές κακόβουλου λογισμικού χωρίς αρχεία, καθώς χρησιμοποιεί το μητρώο για σχεδόν όλη την προσωρινή και μόνιμη αποθήκευση και επομένως δεν γράφει ποτέ τίποτα στο δίσκο, επιτρέποντάς του να λειτουργεί κάτω ή γύρω από το όριο ανίχνευσης των περισσότερων εργαλείων ασφαλείας".

Η Prevailion δήλωσε ότι ένας μη κατονομαζόμενος οργανισμός στη Ρωσία ήταν ένα από τα στοχευμένα θύματα, με έναν αριθμό αντικειμένων κακόβουλου λογισμικού που εντοπίστηκαν από τις 12 Νοεμβρίου 2021. Δεδομένων των χαρακτηριστικών backdoor και persistence, η ομάδα PACT εκτίμησε ότι το DarkWatchman θα μπορούσε να είναι ένα εργαλείο αρχικής πρόσβασης και αναγνώρισης για χρήση από ομάδες ransomware.

Μια ενδιαφέρουσα συνέπεια αυτής της νέας εξέλιξης είναι ότι εξαλείφει εντελώς την ανάγκη για τους χειριστές ransomware να στρατολογούν συνεργάτες, οι οποίοι είναι συνήθως υπεύθυνοι για την απόρριψη του κακόβουλου λογισμικού που κλειδώνει τα αρχεία και τον χειρισμό της εκχύλισης των αρχείων. Η χρήση του DarkWatchman ως προοίμιο για την ανάπτυξη ransomware εξοπλίζει επίσης τους βασικούς προγραμματιστές του ransomware με καλύτερη εποπτεία της επιχείρησης πέρα από τη διαπραγμάτευση των λύτρων.

Translated with www.DeepL.com/Translator (free version)

Αναλυτικά : The Hacker News

[tsigarid]

Τι άλλο θα σκεφτούν!

[aSMiLoN]

Πραγματικα πολυ πρωτοτυπη και συνάμα επικίνδυνη τεχνικη!

[ethnik471]

Και αν κολλήσουμε πως απαλλασσόμαστε απο αυτό ;

[DOU]

Με deepfreeze μπουρλα.

[Zus]

Και αν κολλήσουμε πως απαλλασσόμαστε απο αυτό ;

Έψαξα DarkWatchman mitigation αλλά δεν έβαλε και πολλά. Καθόλου ενθαρρυντικό

[xaris2335]

Και αν κολλήσουμε πως απαλλασσόμαστε απο αυτό ;

η χρησιμοποιείς το safe mode σκέτο χωρίς το network ή βάζεις Λίνουξ και σκανάρεις μέσα απο εκεί τα πάντα.

επίσης κλείνεις τα πάντα που χρησιμοποιούν διαδίκτυο και σκανάρεις με την netstat


Για πρόληψη χρησιμοποιείς το No-Script δοκιμασμένο και πάρα πολύ καλό

When asked how to best protect ourselves right now, Snowden said to “use full disk encryption to protect your computer and devices,” and to also use “network encryption” like SSL. He also suggested using the browser add-ons NoScript and Ghostery as well as using TOR. If you encrypt your hardware and your network, then you are “far, far more hardened than the average user,”

πηγή: https://www.computerworld.com/articl...nce-state.html

Αν και με τα windows 11 θεωρώ ότι αν έχεις TPM module η κρυπτογράφηση είναι πολύ ισχυρή σπάει μεν αλλά απαιτεί φυσική πρόσβαση οπότε απομακρυσμένα είναι απίθανο έως αδύνατο θα έλεγα.

- - - Updated - - -

μην ξεχνάμε και την σουίτα sysinternal tools πάρα πολλή χρήσιμη για γνώστες.

[Φιλόσοφος_Στ@ρχίδας]

Το "χωρίς αρχεία" είναι καθ' υπερβολή βέβαια αφού η registry σε αρχεία αποθηκεύεται

[ethnik471]

η χρησιμοποιείς το safe mode σκέτο χωρίς το network ή βάζεις Λίνουξ και σκανάρεις μέσα απο εκεί τα πάντα.

επίσης κλείνεις τα πάντα που χρησιμοποιούν διαδίκτυο και σκανάρεις με την netstat


Για πρόληψη χρησιμοποιείς το No-Script δοκιμασμένο και πάρα πολύ καλό



πηγή: https://www.computerworld.com/articl...nce-state.html

Αν και με τα windows 11 θεωρώ ότι αν έχεις TPM module η κρυπτογράφηση είναι πολύ ισχυρή σπάει μεν αλλά απαιτεί φυσική πρόσβαση οπότε απομακρυσμένα είναι απίθανο έως αδύνατο θα έλεγα.

- - - Updated - - -

μην ξεχνάμε και την σουίτα sysinternal tools πάρα πολλή χρήσιμη για γνώστες.

Εξαιρειτικά χρήσιμη για πολλούς χρήστες η δημοσίευσή σου και φυσικά σ'ευχαριστώ και προσωπικά καθώς εκτός του οτι δεν ήξερα τι κάνουμε στη συγκεκριμένη περίπτωση , τωρα γνωρίζω και γενικότερα με "σκληρούς" ιους τι κάνουμε καθώς πιστεύω στους περισσότερους έχει τύχει τουλάχιστον μια φορά να μη μπορούμε να διαγράψουμε malware ή κατι σχετικό με κανέναν απο τους γνωστούς απλούς τρόπους!
Και πάλι ευχαριστώ !

[goldenaura]

η χρησιμοποιείς το safe mode σκέτο χωρίς το network ή βάζεις Λίνουξ και σκανάρεις μέσα απο εκεί τα πάντα.

επίσης κλείνεις τα πάντα που χρησιμοποιούν διαδίκτυο και σκανάρεις με την netstat


Για πρόληψη χρησιμοποιείς το No-Script δοκιμασμένο και πάρα πολύ καλό



πηγή: https://www.computerworld.com/articl...nce-state.html

Αν και με τα windows 11 θεωρώ ότι αν έχεις TPM module η κρυπτογράφηση είναι πολύ ισχυρή σπάει μεν αλλά απαιτεί φυσική πρόσβαση οπότε απομακρυσμένα είναι απίθανο έως αδύνατο θα έλεγα.

- - - Updated - - -

μην ξεχνάμε και την σουίτα sysinternal tools πάρα πολλή χρήσιμη για γνώστες.

Ο Snowden δεν είναι προφήτης, ούτε Θεός. Λέει πράγματα που όσοι γνωρίζουν τα θεωρούν αυτονόητα.

[xaris2335]

Εξαιρειτικά χρήσιμη για πολλούς χρήστες η δημοσίευσή σου και φυσικά σ'ευχαριστώ και προσωπικά καθώς εκτός του οτι δεν ήξερα τι κάνουμε στη συγκεκριμένη περίπτωση , τωρα γνωρίζω και γενικότερα με "σκληρούς" ιους τι κάνουμε καθώς πιστεύω στους περισσότερους έχει τύχει τουλάχιστον μια φορά να μη μπορούμε να διαγράψουμε malware ή κατι σχετικό με κανέναν απο τους γνωστούς απλούς τρόπους!
Και πάλι ευχαριστώ !

Υπάρχει επίσης και ο brave browser ο οποίος είναι αρκετά καλώς θα έλεγα για σερφάρισμα με προστασία.


- - - Updated - - -

Το έχω ψάξει πολύ το θέμα με τους ιούς γενικά (malwares,trojans,keyloggers,rootkits,RAT tools,κτλ.) και έχω βρει τρείς τρόπους διαγραφής αλλά δεν τους έχω δοκιμάσει να δω τι αποτέλεσμα έχουν.
Γενικά ασχολούμαι εγκυκλοπεδικά με το White Ethical Hacking & Cybersecurity προσπαθώ απο μόνος μου και διαβάζοντας βιβλία.
Ένα πολύ καλό βιβλίο για όσους θέλουν να ασχοληθούν είναι το παρακάτω.
https://www.comptia.org/certificatio...alyst#overview

Αλλά και του μέντορα μου Kevin Mtinick.
https://www.amazon.com/Art-Invisibil.../dp/0316380504

[Manos_ps]

Αυτό τώρα είναι σε προβληματίσει....