Malware με μία πρωτοφανή τεχνική εγκατάστασης ανακάλυψε η ESET

Συντάκτης Δημοσιεύθηκε Τρίτη, 03 Δεκεμβρίου 2019 Κατηγορία Technology News
Δεν έχει εντοπιστεί ξανά «in the wild».

Οι ερευνητές της ESET, κατά την ανάλυση μίας κυβερνοεπίθεσης ενάντια σε στόχους στη Μέση Ανατολή, εντόπισαν ένα τεχνικά ενδιαφέρον downloader. Το malware χρησιμοποιεί πολλές παράδοξες τεχνικές, μία εκ των οποίων ξεχωρίζει: η καταχώριση ενός νέου τοπικού συστήματος port monitor με το όνομα «Default Print Monitor».

Λόγω αυτής της τεχνικής, οι ερευνητές της ESET ονόμασαν το downloader DePriMon, και, δεδομένης της πολυπλοκότητας και της αρθρωτής αρχιτεκτονικής του, θεωρούν ότι αποτελεί ένα malware framework.

Σύμφωνα με την τηλεμετρία της ESET, το malware DePriMon δραστηριοποιείται τουλάχιστον από τον Μάρτιο του 2017. Ανιχνεύτηκε σε μια ιδιωτική εταιρεία με έδρα την Κεντρική Ευρώπη και σε δεκάδες υπολογιστές στη Μέση Ανατολή. Σε μερικές περιπτώσεις, το DePriMon εντοπίστηκε μαζί με το κακόβουλο λογισμικό ColoredLambert, που χρησιμοποιείται από την ομάδα κυβερνοκατασκοπείας Lamberts (γνωστή και ως Longhorn) και συνδέεται με τη διαρροή Vault 7.

Οι ερευνητές της ESET πιστεύουν ότι το DePriMon είναι ένα εξαιρετικά προηγμένο downloader, και ότι οι δημιουργοί του έχουν καταβάλει σημαντική προσπάθεια για να δομήσουν την αρχιτεκτονική του και να συνθέσουν τις σημαντικές λειτουργίες του. Επομένως, αξίζει να δοθεί προσοχή και σε άλλα στοιχεία πέρα από την περιορισμένη γεωγραφική κατανομή των στόχων του και την πιθανή σχέση του με γνωστή ομάδα κυβερνοκατασκοπείας.

Το DePriMon εγκαθίσταται στη μνήμη και εκτελείται απευθείας από εκεί ως αρχείο DLL χρησιμοποιώντας την τεχνική φόρτωσης DLL. Δεν αποθηκεύεται ποτέ στο δίσκο. Διαθέτει ένα εκπληκτικά εκτεταμένο αρχείο ρυθμίσεων με ενδιαφέροντα στοιχεία, η κρυπτογράφησή του έχει εκτελεστεί σωστά και προστατεύει αποτελεσματικά την επικοινωνία με τον C&C του. Ως αποτέλεσμα, το DePriMon είναι ένα ισχυρό, ευέλικτο και ανθεκτικό εργαλείο, που έχει σχεδιαστεί για να λαμβάνει και να εκτελεί ένα payload, και, στη συνέχεια, να συλλέγει κάποιες βασικές πληροφορίες σχετικά με το σύστημα και τους χρήστες του.

Για να βοηθήσουν τους χρήστες να παραμείνουν ασφαλείς από αυτήν την απειλή, οι ερευνητές της ESET έχουν αναλύσει διεξοδικά αυτό το κακόβουλο λογισμικό που ανακαλύφθηκε πρόσφατα, εστιάζοντας στην τεχνική εγκατάστασής του, η οποία έχει ταξινομηθεί στη βάση MITRE ATT&CK με την ονομασία «Port Monitors», στις κατηγορίες τακτικών «Persistence» και «Privilege Escalation».

Καθώς στη βάση MITER ATT & CK δεν έχει καταγραφεί κάποιο υπαρκτό περιστατικό αυτής της τεχνικής, οι ερευνητές της ESET πιστεύουν ότι το DePriMon αποτελεί το πρώτο παράδειγμα της τεχνικής «Port Monitors» που περιγράφεται δημόσια.

Περισσότερες λεπτομέρειες υπάρχουν στο άρθρο «Registers as a Default Print Monitor, but is a malicious downloader. Meet DePriMon» στο WeLiveSecurity.