Trudne do wykrycia ataki z pamięci RAM na przeglądarki
Odkryto nowe ataki z wstrzykniętym kodem Angler exploit kit bezpośrednio w przeglądarce. Nie jest konieczne ściągnięcie plików na dysk, by złośliwe oprogramowanie mogło zadziałać.
Cyberprzestępcy coraz częściej infekują komputery złośliwym oprogramowaniem, które zagnieżdża się tylko w pamięci. Dzięki takim zabiegom ataki są trudniejsze do wykrycia.
Ostatnie ataki wykorzystujące Angler exploit kit – narzędzie do ataków opartych na sieci – wstrzykuje się bezpośrednio do innych procesów, zamiast tworzyć szkodliwe pliki na zarażonych komputerach. Kafeine badacz złośliwego oprogramowania, poinformował na swoim blogu w niedziele.
Bezplikowe zagrożenia nie są czymś nowym, ale ich stosowanie jest rzadkością, zwłaszcza wśród ataków na wielką skalę, ponieważ nie utrzymują się na długo. Wraz z ponownym uruchomieniem komputera znikają, gdy pamięć RAM jest czyszczona.
W typowym ataku nieściągającym na dysk plików, ofiary odwiedzają niebezpieczną stronę, która przekierowuje przeglądarki do strony, która zawiera exploit kit. Następnie exploit skanuje przeglądarki w celu sprawdzenia czy wykorzystują najnowsze wersje Flash Player, Adobe Reader, Java albo Microsoft Silverlight. Gdy oprogramowanie nie jest aktualne wykorzystuje znane luki w tych wtyczkach do zainstalowania złośliwego oprogramowania.
Za ściągnięcie złośliwego oprogramowania zazwyczaj odpowiada program zwany dropper, którego celem jest ściągnięcie i zainstalowanie jednego lub więcej programów.
Ostatnie zaobserwowane działanie Angler exploit przez Kafeine miało zupełnie inny etap końcowy. Zamiast zainstalowania szkodliwego oprogramowania na dysku, wstrzyknął złośliwy kod bezpośrednio w procesie przeglądarki. Taki atak jest o wiele trudniejszy do wykrycia dla programów antywirusowych.
Kafeine powiedział, że jego standardowe narzędzia nie były w stanie wychwycić zakażenia, które było w stanie ominąć nawet system zapobiegania włamaniom (HIPS).
Technika infekcji nieużywającej plików otwiera szerokie możliwości dla hakerów, gdyż pozwala w łatwy sposób ominąć wykrywanie przez antywirusy. Takie zakażenie idealnie nadaje się do jednorazowej kradzieży. Pozwala to na zgromadzenie informacji o zainfekowanym komputerze, przed zainstalowaniem bardziej trwałego zagrożenia, które dzięki tym informacjom będzie mogło pokonać obronę komputera.
„Wprowadzenie złośliwego oprogramowania opartego na pamięci to zdecydowanie ważny krok dla cyberprzestepców” powiedział Bogdan Botezatu, starszy analityk e-zagrożeń Bitdefender. „Nie spodziewałem się zobaczyć tej techniki w komercyjnych zestawach exploit, jak widać cyberprzestępcy napędzani pieniędzmi wolą w taki sposób wykorzystać swoją pracę”
„Malware, które znajduje się tylko w pamięci, jest bardziej typowe dla głośnych ataków sponsorowanych przez państwo, ponieważ pozwala napastnikowi zarazić cel, skrycie wprowadza informacje i nie pozostawia na dysku śladów do analizy sądowej” powiedział Botezatu
Nadesłał:
Marken
|