Virus Bulletin: Mutter Schadsoftware stirbt nie – sie wird nur gezielter
Z. Hd. Schadsoftware-Betreiber ist es global sinnvoll, eine präzise Nutzlast uff allgemeinere Schadsoftware zu setzen
Virus Bulletin brachte in diesem Jahr eine neue Ladung aufgefrischter Schadsoftware mit viel mehr PS und teuflischen Mengen an maßgeschneidertem Targeting. Von ausgewählten politischen Aktivisten-Einzelzielen solange bis hin zu regionalisierten Zielen – dies Ziel von Schadsoftware wird immer besser.
Es ist sinnvoll, eine präzise Nutzlast uff allgemeinere Schadsoftware zu setzen. Warum verschmelzen ganz neuen Stapel unter Ihren Exploit in der Höhe halten, wenn Sie trivial die Spitze des Speers optimal ersetzen können? Lyceum zum Paradigma scheint eine Wiederholung zu sein, nachdem Talos und andere unter früheren Operationen klug geworden sind. Nichtsdestoweniger ein Hauptteil jener geheimen Sauce kam von Bedrohungsakteuren, die nur wenige interessante Pipapo anpackten, wie die Umwandlung jener IP-Oktette in vier ASCII-codierte Befehle zu Händen den Kohlenstoff&Kohlenstoff-Server, welches irgendwie cool ist.
Z. Hd. Schadsoftware-Betreiber ist die Verwendung von Standardtools in gewisser Weise zu leugnen, welches die Bemühungen zur Schadsoftware-Schlussbetrachtung vereitelt, wenn ein Hauptteil jener Beweise aus einer Mischung von Standardtools besteht. Wie würden Sie beweisen, wer es mit hoher Zuversicht getan hat? In diesem Jahr nach sich ziehen wir wenn schon viele „technische Überschneidungen“ gesehen, unter denen Verschiebungen von früherer POS-Hack-Schadsoftware zu „Big Game Hunting“-Ransomware im Grunde mit dem kleinstmöglichen Spesen dem Geld nachgehen.
Ein weiterer Trend: Hochgradig zielgerichtete Schadsoftware mit nationalstaatlichem Einzelwesen. Insbesondere politische Aktivisten sind ein beständiges Ziel (danke Amnesty International zu Händen die Erkenntnisse im Interface an die Arbeit von Netscout/Bitdefender), womit Hacker Ziele via bösartige Smartphone-Apps zu Händen Familien des Stealjob/Knspy Donot-Teams versuchen. Nachher jener Installation fordert die Rogue-App zur Input erhöhter Androide-Zugriffsberechtigungen uff und zeichnet dann Fernseher- und Tastatureingaben uff. Angreifer markieren Team mit E-Mails und versuchen sogar, die Sprachlokalisierung zu verbessern, um legitimer zu erscheinen (ihr Frz. war in früheren Versuchen nicht sehr gut).
Eine andere Sache, PowerShell ist jener ziemlich neue Liebling, um uff Computerzielen schlechte Pipapo zu tun. Aufgrund umfangreicherer Funktionen bietet es jetzt eine Vielzahl von Funktionen, die verheerende Schäden kredenzen können, und bietet ein nützliches Kontrollfeld zu Händen Bedrohungsakteure wie Dateiexfiltration, Herunterladen zukünftiger Nutzlasten und Wechselwirkung mit Kohlenstoff&Kohlenstoff-Servern.
Und wenn PowerShell jener neue Trend uff Endbenutzercomputern ist, ist es uff einem Windows-Server noch viel besser. Z. Hd. verschmelzen betroffenen Server ist dies sozusagen vorbei, und Angreifer nach sich ziehen es in diesem Jahr ein für alle Mal bemerkt und immer mächtigere Angriffe gegen die Plattform durchgeführt.
Um nicht zu übertreffen, nach sich ziehen wir immer noch dies dauerhafte Low-Level-Ziel: UEFI. ESET-Forscher fanden kürzlich verschmelzen neuen Provider namens ESPecter, jener den Schiff-Prozess via seine ESP-Komponente verändert und super-heimliche Schadsoftware-Verstecke hochfährt, die Sicherheitssoftware passen.
Wie schützen Sie sich gegen solche Weise von Schadsoftware? Überraschenderweise werden immer noch einfache Fehler wie Rechtschreibfehler in die bösartigen Exploits eingebettet, wie wie einer, jener „Hintertür“ falsch geschrieben und dann den Rechtschreibfehler in mehrere Dateien kopiert hat, wodurch ein starker Rauchzeichen entsteht.
Ironischerweise fällt unter den meisten jener hervorgehobenen Untersuchungen uff, wie viele Puzzleteile letztendlich durch eine „zufällige Erfindung“ zusammengefügt wurden: Dasjenige heißt, die Forscher hatten irgendwo Hochgefühl. Dies kann wenn schon bedeuten, dass im öffentlichen Web irgendwas Offensichtliches gefunden wird, dies hilft, die Schadsoftware-Autoren per von Benutzernamen zu identifizieren, die noch irgendwo in sozialen Medien vererben werden und die klipp und klar uff die Identität des Betreibers verweisen. Es ist schon ominös, wie oft dies Hochgefühl im Schlagschatten jener Forscherpalette regiert.
Nebenher zu mietende Bedrohungsakteure: Eine besondere Erwähnung verdient jener Namenswettbewerb, jener hinter jener Hacker-for-hire-Posten „Operation Hangover“ gestanden nach sich ziehen muss, unabhängig von ihrem Heil, jener in irgendjemand Weise mit jener darin dargestellte Hinweise.
Wir freuen uns uff dies Virus Bulletin nächstes Jahr in Prag – wünschen wir.