fbpx
13.6 C
София

Новооткрита заплаха използва EFS, за да скрие присъствието си

Най-четени

Методи Дамянов
Методи Дамяновhttps://www.kaldata.com/
В "Калдата" от 2012г. насам. С интереси в сферата на информационната и интернет сигурност, дисруптивните технологии (IoT, AI, облак), видеоигрите с душа и послание и интернет свободата. Фен на Кен Ливайн, Ричард Столман и Джон Пери Барлоу.

Специалистите от компанията за информационна и интернет защита Symantec съобщиха за откриването на нов метод за прикриване на присъствието на малуер в системата, който е бил използван от киберпрестъпници.

За създателите на малуер кода, влизането в системата и настаняването в мрежата от устройства е едва една от стъпките на тяхната дейност. Днес, те отделят голямо внимание не само на писането на зловреден код, но и на създаването на начини за техния продукт да остане незабелязан, колкото се може по-дълго на компрометираната система.

Разработчиците от компанията са се натъкнали на бекдор програма известна като Tranwos, която компрометира уиндоуска услуга, която е известна като Encrypting File System (EFS).
„Не само, че е лесно за програмен код да се възползва от EFS, но е изключително ефективно като метод, за целите на избягването на задълбочен анализ и достигането до съдържанието на файла“, съобщава Казумаса Итабаши от Symantec.
В началото малуерът създава папка %Temp%\s[произволен ред от ASCII символи], а след това „извиква“ EncryptFileW API, за да криптира папката, като всички папки, които се създават и разполагат в нея впоследствие биват криптирани автоматично от Windows. Заплахата също се копира с името wow.dll в папката и променя функцията Characteristic на PE-хедъра, за да може да се промени в DLL-файл.

Какви са пречките обаче тук за малуер изследователя, обяснява Итабаши: „В някои случаи, специалистите по компютърна безопасност използват друга операционна система, като да речем дистрибуция на Linux от флашка, за да могат да се доберат до зловредните файлове в компрометирания компютър. Това например е успешен метод, когато трябва да се открият файлове в система, която е била компрометирана от руткит. Тук обаче няма начин да се доберем до wow.dll, тъй като DLL-файлът е криптиран от EFS“, обяснява Итабаши. „Потребителски акаунт, който изпълнява тази заплаха може да види файла и промени крипто статута му. И след като при тази заплаха традиционните инструменти, с които разследваме компрометираната система, не вършат работа, на нас ни се налага ръчно да възпроизведем заплахата върху тестов компютър, за да стигнем до съдържанието на файла“, завършва Итабаши.


Коментирайте статията в нашите Форуми. За да научите първи най-важното, харесайте страницата ни във Facebook, и ни последвайте в Telegram и Viber или изтеглете приложението на Kaldata.com за Android, iOS и Huawei!

Абонирай се
Извести ме за
guest

0 Коментара
Отзиви
Всички коментари

Нови ревюта

Подобни новини