Malware is moeilijker te detecteren. Wat is modulaire malware en hoe voorkom je dat het schade aanricht op je pc?

Modulaire malware: de nieuwe sluipende aanval waarbij uw gegevens worden gestolen

Advertentie Malware is er in alle soorten en maten. Bovendien is de verfijning van malware in de loop der jaren aanzienlijk toegenomen. Aanvallers beseffen dat het proberen om elk aspect van hun kwaadaardige pakket in één enkele lading te passen niet altijd de meest efficiënte manier is. In de loop van de tijd is malware modulair geworden. D

Advertentie

Malware is er in alle soorten en maten. Bovendien is de verfijning van malware in de loop der jaren aanzienlijk toegenomen. Aanvallers beseffen dat het proberen om elk aspect van hun kwaadaardige pakket in één enkele lading te passen niet altijd de meest efficiënte manier is.

In de loop van de tijd is malware modulair geworden. Dat wil zeggen, sommige malwarevarianten kunnen verschillende modules gebruiken om de invloed ervan op een doelsysteem te wijzigen. Wat is modulaire malware en hoe werkt het?

Wat is modulaire malware?

Modulaire malware is een geavanceerde bedreiging die een systeem in verschillende fasen aanvalt. In plaats van door de voordeur te schieten, heeft modulaire malware een subtielere aanpak.

Het doet dat door alleen de essentiële componenten eerst te installeren. Vervolgens, in plaats van een fanfare te veroorzaken en gebruikers te waarschuwen voor de aanwezigheid, onderzoekt de eerste module het systeem en de netwerkbeveiliging; wie de leiding heeft, welke beveiligingen worden uitgevoerd, waar de malware kwetsbaarheden kan vinden, welke exploits de beste kans van slagen hebben, enzovoort.

Nadat de lokale omgeving succesvol is uitgeput, kan de malwaremodule van de eerste fase naar zijn command and control (C2) -server bellen. De C2 kan vervolgens verdere instructies en aanvullende malwaremodules terugsturen om te profiteren van de specifieke omgeving waarin de malware actief is.

Modulaire malware heeft verschillende voordelen in vergelijking met malware die al zijn functionaliteit in één payload verpakt.

  • De malware-auteur kan de malware-handtekening snel wijzigen om antivirus en andere beveiligingsprogramma's te ontwijken.
  • Modulaire malware biedt uitgebreide functionaliteit voor verschillende omgevingen. Daarin kunnen auteurs reageren op specifieke doelen, of alternatief specifieke modules reserveren voor gebruik in bepaalde omgevingen.
  • De eerste modules zijn klein en iets eenvoudiger te verbergen.
  • Door meerdere malwaremodules te combineren, blijven beveiligingsonderzoekers raden wat er gaat gebeuren.

Modulaire malware is geen plotselinge nieuwe bedreiging. Malware-ontwikkelaars maken al lang efficiënt gebruik van modulaire malwareprogramma's. Het verschil is dat beveiligingsonderzoekers meer modulaire malware tegenkomen in een breder scala van situaties. Onderzoekers hebben ook het enorme Necurs-botnet gezien (berucht voor het distribueren van de Dridex- en Locky-ransomware-varianten) die modulaire malware-payloads verspreiden. (Wat is eigenlijk een botnet? Wat is een botnet en maakt uw computer deel uit van één? Wat is een botnet en maakt uw computer deel uit van één? Botnets zijn een belangrijke bron van malware, ransomware, spam en meer. Maar wat is een botnet? Hoe ontstaan ​​ze? Wie bestuurt ze? En hoe kunnen we ze stoppen? Lees meer)

Modulaire malware-voorbeelden

Er zijn enkele zeer interessante modulaire malware-voorbeelden. Hier zijn een paar voor u om te overwegen.

VPNFilter

VPNFilter is een recente malwarevariant die routers en Internet of Things (IoT) -apparaten aanvalt. De malware werkt in drie fasen.

De eerste fase malware neemt contact op met een opdracht- en controleserver om de fase twee-module te downloaden. De tweede fase module verzamelt gegevens, voert opdrachten uit en kan het apparaatbeheer verstoren (inclusief de mogelijkheid om een ​​router, IoT of NAS-apparaat te 'bricken'. De tweede fase kan ook modules van de derde fase downloaden, die werken als plug-ins voor de tweede fase. De fase 3-modules omvatten een pakket-sniffer voor SCADA-verkeer, een pakketinjectiemodule en een module waarmee de fase 2-malware kan communiceren via het Tor-netwerk.

Je kunt hier meer te weten komen over VPNFilter, waar het vandaan komt en hoe je het hier kunt vinden.

Modulaire malware: de nieuwe stealthy-aanval Uw gegevens stelen vpnfilter malware-serverinfrastructuur

T9000

Palo Alto Networks beveiligingsonderzoekers hebben de T9000-malware ontdekt (geen relatie met Terminator of Skynet ... of toch ?!).

T9000 is een hulpmiddel voor intelligentie en gegevensverzameling. Eenmaal geïnstalleerd, laat de T9000 een aanvaller "gecodeerde gegevens vastleggen, screenshots van specifieke toepassingen maken en zich specifiek richten op Skype-gebruikers", evenals Microsoft Office-productbestanden. T9000 wordt geleverd met verschillende modules die zijn ontworpen om tot 24 verschillende beveiligingsproducten te ontwijken, waardoor het installatieproces wordt gewijzigd om onder de radar te blijven.

DanaBot

DanaBot is een multi-stage bank-trojan met verschillende plug-ins die de auteur gebruikt om zijn functionaliteit uit te breiden. (Hoe u snel en effectief kunt omgaan met externe toegang Trojaanse paarden. Hoe eenvoudig en effectief om te gaan met externe toegang Trojaanse paarden Hoe eenvoudig en effectief om te gaan met externe toegang Trojaanse paarden Een RAT ruiken? Als u denkt dat u bent besmet met een externe toegang Trojan, u kunt er eenvoudig vanaf komen door deze eenvoudige stappen te volgen. Lees meer) In mei 2018 werd DanaBot bijvoorbeeld opgemerkt in een reeks aanvallen op Australische banken. Destijds ontdekten onderzoekers een packet-snuif- en injectie-plug-in, een VNC-plug-in voor externe weergave, een plug-in voor gegevensverzameling en een Tor-plug-in die veilige communicatie mogelijk maakt.

"DanaBot is een trojan voor banken, wat betekent dat het noodzakelijkerwijs tot op zekere hoogte geografisch is gericht", leest het Proofpoint DanaBot blogbericht. “Adoptie door grootschalige acteurs suggereert echter, zoals we zagen in de Amerikaanse campagne, actieve ontwikkeling, geografische expansie en voortdurende interesse van de dreigingsacteur voor de malware. De malware zelf bevat een aantal anti-analysefuncties, evenals bijgewerkte modules voor stealer en afstandsbediening, waardoor de aantrekkelijkheid en het nut voor bedreigingsactoren verder worden vergroot. "

Marap, AdvisorsBot en CobInt

Ik combineer drie modulaire malwarevarianten in één sectie, terwijl de geweldige beveiligingsonderzoekers van Proofpoint ze alle drie hebben ontdekt. De modulaire malwarevarianten vertonen overeenkomsten, maar hebben een ander gebruik. Bovendien maakt CobInt deel uit van een campagne voor de Cobalt Group, een criminele organisatie die banden heeft met een lange lijst van bank- en financiële cybercriminaliteit.

Marap en AdvisorsBot werden allebei gespot om hun doelsystemen voor verdediging en netwerkmapping uit te zoeken, en of de malware de volledige payload zou moeten downloaden. Als het doelsysteem van voldoende belang is (bijvoorbeeld waarde heeft), roept de malware de tweede fase van de aanval op.

Net als andere modulaire malwarevarianten volgen Marap, AdvisorsBot en CobInt een stroom in drie stappen. De eerste fase is meestal een e-mail met een geïnfecteerde bijlage die de eerste exploit draagt. Als de exploit wordt uitgevoerd, vraagt ​​de malware onmiddellijk om de tweede fase. De tweede fase bevat de verkenningsmodule die de beveiligingsmaatregelen en het netwerklandschap van het doelsysteem beoordeelt. Als de malware alles geschikt acht, worden de derde en laatste module gedownload, inclusief de belangrijkste payload.

Proofpoint-analyse van:

  • Marap
  • AdvisorBot (en PoshAdvisor)
  • CobIn

Verminking

Mayhem is een iets oudere modulaire malwarevariant, die voor het eerst in 2014 aan het licht komt. Mayhem blijft echter een geweldig modulair voorbeeld van malware. De malware, ontdekt door beveiligingsonderzoekers van Yandex, richt zich op Linux- en Unix-webservers. Het wordt geïnstalleerd via een kwaadaardig PHP-script.

Eenmaal geïnstalleerd, kan het script verschillende plug-ins gebruiken die het uiteindelijke gebruik van de malware definiëren.

De plug-ins bevatten een brute force wachtwoordcracker die zich richt op FTP-, WordPress- en Joomla-accounts, een webcrawler om te zoeken naar andere kwetsbare servers en een tool die misbruik maakt van de Heartbleed OpenSLL-kwetsbaarheid.

DiamondFox

Onze laatste modulaire malwarevariant is ook een van de meest complete. Het is ook een van de meest verontrustende, om een ​​paar redenen.

Reden één: DiamondFox is een modulair botnet te koop op verschillende ondergrondse forums. Potentiële cybercriminelen kunnen het DiamondFox modulaire botnet-pakket aanschaffen om toegang te krijgen tot een breed scala aan geavanceerde aanvalsmogelijkheden. De tool wordt regelmatig bijgewerkt en heeft, net als alle goede online services, gepersonaliseerde klantenondersteuning. (Het heeft zelfs een wijzigingslogboek!)

Reden twee: het DiamondFox modulaire botnet wordt geleverd met een reeks plug-ins. Deze worden in- en uitgeschakeld via een dashboard dat niet misstaat als een smart home-app. Plug-ins omvatten op maat gemaakte spionagetools, tools voor het stelen van inloggegevens, DDoS-tools, keyloggers, spam-mailers en zelfs een RAM-krabber.

Waarschuwing: de volgende video bevat muziek die je wel of niet leuk vindt.

Hoe een modulaire malware-aanval te stoppen

Momenteel beschermt geen enkel specifiek hulpmiddel tegen een specifieke modulaire malwarevariant. Ook hebben sommige modulaire malwarevarianten een beperkte geografische reikwijdte. Marap, AdvisorsBot en CobInt zijn bijvoorbeeld voornamelijk te vinden in Rusland en GOS-landen.

Dat gezegd hebbende, wezen de Proofpoint-onderzoekers erop dat, ondanks de huidige geografische beperkingen, andere criminelen, als ze een gevestigde criminele organisatie zien die modulaire malware gebruikt, anderen zeker zullen volgen.

Bewustzijn van hoe modulaire malware op uw systeem binnenkomt, is belangrijk. De meerderheid gebruikt geïnfecteerde e-mailbijlagen, meestal met een Microsoft Office-document met een kwaadaardig VBA-script. Aanvallers gebruiken deze methode omdat het gemakkelijk is om geïnfecteerde e-mails te verzenden naar miljoenen potentiële doelen. Bovendien is de eerste exploit klein en gemakkelijk vermomd als een Office-bestand.

Zoals altijd, zorg ervoor dat u uw systeem up-to-date houdt en overweeg om te investeren in Malwarebytes Premium - het is het waard 5 redenen om te upgraden naar Malwarebytes Premium: Ja, het is het waard 5 redenen om te upgraden naar Malwarebytes Premium: Ja, het is het waard terwijl de gratis versie van Malwarebytes is geweldig, de premium-versie heeft een heleboel handige en nuttige functies. Lees verder !

Ontdek meer over: Jargon, Malware, Modular Malware, Trojan Horse.