Fileless, Code-Injection Ransomware začne provádět kola

Jako kdyby WannaCrypt nebylo dost špatné! Máme další Ransomware hrozbou pro řešení ve formě SOREBRECT. Společnost Security Software, Trend Micro, objevila SOREBRECT před několika měsíci, kdy bylo zjištěno, že mají infikované systémy a sítě organizací na Blízkém východě.

Fileless ransomware

SOREBRECT je Bezplatný malware který vnáší škodlivý kód do nekonvenčních šifrovacích technik. Využívá Nástroj PsExec ve Windows nutit injekci kódu, a současně se zaměřit na zůstaní kradmý.

SOREBRECT je bezvadný malware

Co dělá SOREBRECT smrtící je jeho self-destruct rutina, která nakonec změní to do souboru méně hrozby. Ransomware vloží kód do legitimního systémového procesu (který provádí rutinu šifrování) před ukončením hlavního binárního kódu. Aby bylo zajištěno, že bezpečnostní pracovníci nesledují své aktivity, SOREBRECT vymaže protokoly infikovaného systému a další artefakty, včetně časových razítek (např. Appcompat / shimcache a prefetch).

Podle Trend Micro, když byl poprvé objeven, měl SOREBRECT nízkou distribuci a soustředil se především na země Středního východu, jako je Kuvajt a Libanon. Nyní se však rozšířila do Kanady, Číny, Chorvatska, Itálie, Japonska, Mexika, Ruska, Tchaj-wanu a USA

Průmyslová odvětví včetně výroby, technologie a telekomunikace jsou na radaru ransomware a mají své jedinečné kódování; Existují obavy z toho, že se SOREBRECT šíří do jiných částí světa, nebo dokonce v kyberkriminalistickém podzemí, kde může být prodáván jako služba.

Jak SOREBRECT infikuje počítače

SOREBRECT je zneužívání PsExec, (legitimní, Windows příkazový řádek nástroj, který umožňuje systémovým administrátorům spouštět příkazy nebo spouštět spustitelné soubory na vzdálených systémech) ke spouštění příkazů nebo spouštění spustitelných souborů na vzdálených systémech.

Trend Micro říká:

„Zneužití PsExec k instalaci SOREBRECT znamená, že pověření administrátora již byla ohrožena, nebo vzdálené počítače byly vystaveny nebo brutálně vynuceny“. Injikuje svůj kód do procesu Windows svchost.exe, zatímco hlavní binární self-destructs. Kombinace je silná: jakmile nasazený ransomware binární ukončí provádění a self-terminace, injikovaný svchost.exe - legitimní proces hostování systému Windows - obnoví provádění užitečného zatížení (šifrování souborů)

Dále používá wevtutil.exe k odstranění protokolů událostí systému a vssadmin k odstranění stínových kopií tak, aby nemohly být sledovány.

SOREBRECT může také šifrovat sítě

SOREBRECT může infikovat soubory na jiných počítačích připojených k infikovanému PC přes lokální síť. Prohledává síť, zda neobsahuje zjišťování aktiv a vyjmenovává otevřené sdílené složky - složky, obsah nebo periferní zařízení (tj. Tiskárny), ke kterým mohou ostatní uživatelé snadno přistupovat prostřednictvím sítě.

Chcete-li zůstat chráněni, omezte oprávnění pro zápis a omezení oprávnění pro PsExec. Udržet zálohu souborů je nutností. Udržujte systém a síť aktualizované, protože značně snižuje rizika.

Zdroj

Napsat komentář

Tyto stránky používají Akismet k omezení spamu. Zjistěte, jak jsou vaše údaje komentářů zpracovávány.