Android

Stealthy Rootkit Slides weiter unter dem Radar

CONFidence 2019: "Latest Android threats and their techniques" - Lukas Štefanko

CONFidence 2019: "Latest Android threats and their techniques" - Lukas Štefanko
Anonim

Tausende von Websites zu erkennen Die bösartige Software ist eine neue Variante von Mebroot, ein Programm, das als "Rootkit" bekannt ist, weil es so versteckt ist Windows-Betriebssystem, sagte Jacques Erasmus, Leiter der Forschung für die Sicherheitsfirma Prevx.

Eine frühere Version von Mebroot, wie Symantec es nannte, erschien erstmals im Dezember 2007 und verwendete eine bekannte Technik, um sich zu verstecken. Es infiziert den Master Boot Record (MBR) eines Computers. Es ist der erste Code, nach dem ein Computer beim Booten des Betriebssystems sucht, nachdem das BIOS ausgeführt wurde.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Wenn der MBR unter der Kontrolle eines Hackers steht Computer und alle Daten, die über das Internet übertragen oder übertragen werden, sagte Erasmus.

Seit Mebroot Sicherheitsanbieter ihre Software verbessert haben, um sie zu erkennen. Aber die neueste Version verwendet viel ausgeklügeltere Techniken, um verborgen zu bleiben, sagte Erasmus.

Mebroot fügt Programmhacken in verschiedene Funktionen des Kernels oder den Kerncode des Betriebssystems ein. Sobald Mebroot feststeht, zeigt die Malware an, dass der MBR nicht manipuliert wurde.

"Wenn etwas versucht, den MBR zu scannen, zeigt er für jede Sicherheitssoftware einen perfekt aussehenden MBR", sagt Erasmus sagte.

Dann, jedes Mal, wenn der Computer gebootet wird, injiziert Mebroot sich in einen Windows-Prozess im Speicher, wie svc.host. Da er im Speicher ist, bedeutet das, dass nichts auf die Festplatte geschrieben wird, eine andere Ausweichtechnik, sagte Erasmus.

Mebroot kann dann beliebige Informationen stehlen und sie über HTTP an einen entfernten Server senden. Netzwerkanalyse-Tools wie Wireshark werden nicht bemerken, dass Daten verloren gehen, da Mebroot den Datenverkehr verbirgt, sagte Erasmus.

Prevx sah die neue Variante von Mebroot, nachdem einer der Kunden des Unternehmens infiziert wurde. Es dauerte einige Tage, bis die Analysten genau feststellten, wie Mebroot sich in das Betriebssystem integrieren konnte. "Ich denke, im Moment arbeiten alle daran, ihre [Antimalware] -Maschinen zu modifizieren, um sie zu finden", sagte Erasmus.

Und diese Unternehmen müssen schnell handeln. Laut Erasmus wurden Tausende von Websites gehackt, um Mebroot an gefährdete Computer zu liefern, die nicht über die entsprechenden Patches für ihre Webbrowser verfügen.

Der Infektionsmechanismus wird als Drive-by-Download bezeichnet. Es tritt auf, wenn eine Person eine legitime Website besucht, die gehackt wurde. Auf der Site wird ein unsichtbarer Iframe mit einem Exploit-Framework geladen, das zu testen beginnt, um festzustellen, ob der Browser eine Sicherheitslücke aufweist. Wenn dem so ist, wird Mebroot ausgeliefert, und ein Benutzer merkt nichts.

"Es ist jetzt ziemlich wild", sagte Erasmus. "Überall, wo du hingehst, hast du eine Chance, infiziert zu werden."

Es ist unbekannt, wer Mebroot geschrieben hat, aber es scheint, dass ein Ziel der Hacker darin besteht, einfach so viele Computer wie möglich zu infizieren, sagte Erasmus.

Prevx hat ein selbst benanntes, spezialisiertes Sicherheitsprodukt, das neben Antivirus-Software zur Erkennung von Drive-by-Browser-Exploits, Passwort-Stealern, Rootkits und Rogue-Antivirus-Software eingesetzt wird.

Prevx hat am Mittwoch die Version 3.0 seines Produkts veröffentlicht. Die Software erkennt Malware-Infektionen kostenlos, aber Benutzer müssen ein Upgrade durchführen, um die vollständige Entfernungsfunktion zu erhalten. Prevx 3.0 wird jedoch einige der böseren bösartigen Software, einschließlich Mebroot, sowie jegliche Werbesoftware, bekannt als Adware, kostenlos entfernen, sagte Erasmus.