Kaspersky के विशेषज्ञों ने एक नए लक्षित फ़ाइल रहित मैलवेयर अभियान का खुलासा किया है। यह मैलवेयर और हमलावरों द्वारा उपयोग की जाने वाली विभिन्न तकनीकों को संग्रहीत करने के लिए विंडोज इवेंट लॉग्स के एक अभिनव उपयोग की विशेषता है।
कमर्शियल पेंटेस्टिंग सूट और एंटी-डिटेक्शन रैपर का उपयोग किया जाता है, जिसमें गो के साथ संकलित भी शामिल हैं। अभियान के हिस्से के रूप में कई नवीनतम पीढ़ी के ट्रोजन भी तैनात किए गए थे।
फ़ाइल रहित मालवेयर हमले के नए तरीके
Kaspersky के विशेषज्ञों ने एक अनूठी तकनीक का उपयोग करते हुए एक लक्षित मैलवेयर ऑपरेशन की खोज की है: फाइललेस मैलवेयर विंडोज इवेंट लॉग में छिपा हुआ है। पीड़ित द्वारा डाउनलोड किए गए संग्रह से ड्रॉपर मॉड्यूल के माध्यम से सिस्टम को शुरू में संक्रमित किया गया था। हमलावर ने अंतिम चरण के ट्रोजन को और अधिक अस्पष्ट करने के लिए कई प्रकार के एंटी-डिटेक्शन रैपर का इस्तेमाल किया। आगे की पहचान से बचने के लिए, कुछ मॉड्यूल डिजिटल प्रमाणपत्र के साथ हस्ताक्षरित किए गए थे।
आखिरी चरण में हमलावरों ने दो तरह के ट्रोजन का इस्तेमाल किया। इनका उपयोग सिस्टम तक और पहुंच प्राप्त करने के लिए किया गया था। नियंत्रण सर्वर से कमांड दो तरह से प्रसारित किए गए: HTTP नेटवर्क संचार और तथाकथित पाइप के माध्यम से। कुछ ट्रोजन संस्करण C2 से दर्जनों कमांड वाले कमांड सिस्टम का उपयोग करने में कामयाब रहे।
विंडोज सिस्टम में शेलकोड छिपे हुए हैं
इस अभियान में साइलेंटब्रेक और कोबाल्टस्ट्राइक सहित वाणिज्यिक पंचिंग उपकरण भी शामिल थे। इसने प्रसिद्ध तकनीकों को अनुकूलित डिक्रिप्शन प्रोग्राम और सिस्टम पर शेलकोड को छिपाने के लिए विंडोज इवेंट लॉग के पहले-देखे गए उपयोग के साथ जोड़ा।
"हमने एक नई लक्षित मैलवेयर तकनीक देखी जिसने हमारा ध्यान खींचा। हमले के लिए, अभिनेता ने विंडोज इवेंट लॉग से एक एन्क्रिप्टेड शेलकोड को सहेजा और फिर निष्पादित किया, ”कास्परस्की के वरिष्ठ सुरक्षा शोधकर्ता डेनिस लेगेज़ो ने कहा। "यह एक ऐसा दृष्टिकोण है जिसे हमने पहले कभी नहीं देखा है और खतरों के प्रति सतर्क रहने के महत्व को दर्शाता है जो अन्यथा आपको तैयार नहीं कर सकते। हमें लगता है कि हाइड आर्टिफैक्ट्स भाग में MITER मैट्रिक्स के डिफेंस इवेशन सेक्शन में इवेंट लॉग तकनीक को जोड़ना उचित है। अलग-अलग कमर्शियल पेंटेस्टिंग सुइट्स का इस्तेमाल भी आम नहीं है।”
Kaspersky.com पर अधिक
Kaspersky के बारे में Kaspersky 1997 में स्थापित एक अंतरराष्ट्रीय साइबर सुरक्षा कंपनी है। Kaspersky की डीप थ्रेट इंटेलिजेंस और सुरक्षा विशेषज्ञता दुनिया भर में व्यवसायों, महत्वपूर्ण बुनियादी ढांचे, सरकारों और उपभोक्ताओं की सुरक्षा के लिए नवीन सुरक्षा समाधानों और सेवाओं की नींव के रूप में कार्य करती है। कंपनी के व्यापक सुरक्षा पोर्टफोलियो में जटिल और उभरते साइबर खतरों से बचाव के लिए अग्रणी एंडपॉइंट सुरक्षा और विशेष सुरक्षा समाधानों और सेवाओं की एक श्रृंखला शामिल है। 400 मिलियन से अधिक उपयोगकर्ता और 250.000 कॉर्पोरेट ग्राहक Kaspersky प्रौद्योगिकियों द्वारा सुरक्षित हैं। www.kaspersky.com/ पर Kaspersky के बारे में अधिक जानकारी