Ведущий научный сотрудник ESET Дэвид Харли рассказал, что за то время, пока он и его сотрудники наблюдали за TDL4, они отметили переход бот-сети на новый этап эволюции.
Эти перемены, подчеркнул он, могут быть сигналом того, что или команда, разрабатывающая вредоносную программу сменилась, или что создатели начали сдавать буткит-билдер иным группам киберпреступников.
Дроппер ботнета, утверждает он, отсылает массу информации для выслеживания в командно-контрольный сервер в ходе установки руткита в систему. В случае какой-нибудь ошибки, по заверениям Харли, эксплойт посылает сообщение о комплексной ошибке, что дает разработчикам вредоносного ПО довольно информации для того, чтоб определить причину неисправности.
Все это, пишет Харли в собственном последнем посте, свидетельствует о том, что бот все еще располагается в стадии разработки.
"Мы к тому же отыскали метод противодействия бот-трекеру на базе виртуальных машин: в ходе установки вредоносного ПО он проверяет, возможно ли в данный миг запустить дроппер в среде виртуальной машины и эта информация отсылается на командно-контрольный сервер. Естественно, вредоносное ПО, которое запускается в виртуальной среде, не представляет из себя ничего необычного в мире современного вредоносного ПО, однако в мире TDL это кое-что новое", - заявляет он.
Одно из наиболее интересных направлений эволюции бот-сети, подчеркивает Infosecurity, это то, что изменилось расположение скрытой файловой системы.
В отличие от предыдущей версии, которая, как пишет Харли, была способна хранить не более 15 файлов - независимо от размера занятого пространства - мощь новой файловой системы ограничивается размером вредоносных разделов.
Файловая система, представленная в последней модификации вредоносной утилиты, более продвинутая, чем раньше, подчеркнул Харли, добавив, что, к примеру, вредоносное ПО способно обнаружить повреждение файлов, хранящихся в скрытой файловой системе, путем вычисления контрольной суммы CRC32 и сравнивая ее со значением, хранящимся в заголовке файла.
В случае, если файл поврежден, он удаляется из файловой системы.
На Avecto Марк Остин, специалист по Windows, заявил, что удаление прав администратора поможет прибавить дополнительный ур. защиты в непрекращающейся борьбе против кодеров-злоумышленников.
"TDL4 - вредоносный код, который охватывает как аспекты ликвидации конкурентов, типа Zeus, так и добавления технологий, которые делают обыкновенный шаблонный/эвристический разбор гораздо сложнее", - объясняет он.
Удаление прав администратора, продолжил он, это мощный инструмент, являющийся частью многослойной стратегии IT-безопасности в всегда ведущейся борьбе с вредоносным ПО во всех его формах и проявлениях.
"Даже если вам, к примеру, "повезло" обнаружить одну или несколько учетных записей, скомпрометированных при помощи фишинг-атаки, тот факт, что учетная(ые) запись(и) ограничены в своих действиях поможет понизить негативный эффект от проблем, связанных с нарушением информационной безопасности", - прибавил он.
Такое вредоносное ПО, как это, заявил Остин, практически скорее всего развивается, киберпреступники, усовершенствовав кое-какие функции, удалив старый код и добавив новые элементы, получают возможности воспользоваться снова открывшимся направлениями для атак.
"Не нужно быть гением, чтоб понять, что победит новое эволюционировавшее поколение вредоносных программ - или, что в особенности важно, абсолютно новый код вредоносного ПО. Что требуется, так это тщательно спланированная стратегия, с неплохо продуманной реализацией, использующая несколько элементов безопасности, которые, при их сочетании, дадут больший эффект, чем сумма их компонентов", - подчеркнул он.
"Привилегированное управление учетной записью может значительно помочь IT-экспертам в этом, так как станет дополнительным бастионом в их системе обороны. Это часть GRC-управления, концепции анализа рисков и совместимости - система, на которой основывается вся современная система IT¬-управления безопасностью", - прибавил он.
Комментариев нет:
Отправить комментарий