Poweliks – trojan, który nie tworzy żadnych plików, działa w obrębie rejestru

Poweliks – trojan, który nie tworzy żadnych plików, działa w obrębie rejestru

Poweliks – trojan, który nie tworzy żadnych plików, działa w obrębie rejestru
Redakcja
05.08.2014 19:47, aktualizacja: 06.08.2014 10:28

Podobnie jak ewoluuje oprogramowanie antywirusowe, które tak naprawdę nie jest już samym antywirusem, bo ten nie byłby w stanie zapewnić należytej ochrony, tak samo ewoluują różnego rodzaju szkodniki. Badacze z firmy G Data natknęli się na ciekawy rodzaj zagrożenia. Jego dokładna analiza pokazała, że jest w stanie funkcjonować bez plików, infekuje rejestr systemowy i rozwija się właśnie w nim. Skutki są poważne, bo walka z takim zagrożeniem jest o wiele trudniejsza, niż można by przypuszczać.

Gdy mówimy o wirusach, trojanach czy adware, najczęściej mamy na myśli pliki, które fizycznie znajdują się na dysku twardym naszego komputera, zarażają inne pliki, szyfrują dane, lub je niszczą. Ten przypadek jest inny. Poweliks, bo tak nazywa się zagrożenie, nie tworzy żadnych dodatkowych plików. Cały kod zagrożenia znajduje się w jednym pliku, jest zaszyfrowany i wykonuje się po uruchomieniu przez użytkownika, bądź inną aplikację będącą inicjatorem ataku. Według badaczy jego dalsze działanie przypomina... zasady układania rosyjskiej zabawki, matrioszki: kod osadza i wykonuje dalszy kod, ten następny itd.

Dostęp do ukrytego klucza nie jest możliwy
Dostęp do ukrytego klucza nie jest możliwy

Początkowo Poweliks wykorzystuje luki w zabezpieczeniach edytora tekstu Word z pakietu Microsoft Office. To właśnie poprzez spreparowany plik dochodzi do infekowania kolejnych maszyn – jak w wielu przypadkach, także i tutaj wykorzystywana jest poczta elektroniczna do rozsyłania szkodnika - przypominamy, załączniki tego typu są niezaufane. Gdy ofiara pobierze taki plik i go uruchomi, szkodnik utworzy zakodowany klucz rejestru w autostarcie. Nie wykorzystuje znaku ASCII, w efekcie pozostaje niezauważony, ponieważ klucz jest ukryty i niedostępny do poglądu narzędzi administracyjnych takich jak regedit.

Zdekodowanie tego klucza pokazuje, co szkodnik robi dalej, po ponownym uruchomieniu systemu: za pomocą wywołania rundll32.exe i kodu JavaScript sprawdza, czy system jest wyposażony w wiersz poleceń PowerShell, jeżeli tak, instaluje kod zakodowany w Base64. Ten wykonuje tzw. shellcode napisany w asemblerze. Kod ten powoduje połączenie z dwoma adresami w Kazachstanie i oczekuje na polecenia – może pobierać inne szkodniki, a także wyłączać różne składniki systemu. To tyle.. jak widać, działanie nie wymagało utworzenia żadnego pliku, jeden jedyny to sam nośnik trojana, dokument Worda.

Takie działanie wyklucza możliwość wykrycia za pomocą standardowych technik skanowania. Na nic nie zda się monitoring krytycznych plików systemowych, ani obszarów tymczasowych, bo po prostu w nich nic nie zostanie zmodyfikowane. Na nic systemy bazujące na reputacji, bo nie ma z czego wyciągnąć hasha, aby móc ją sprawdzić. Stosując tego typu metody jedyną linią obronną jest skanowanie plików Worda i szukanie w nich złośliwego kodu. Nie każdy program ochronny domyślnie skanuje tego typu pliki, większość sprawdza dopiero skrypty w nich zawarte, a to za mało do detekcji tego zagrożenia.

Jak można więc obronić się przed Poweliksem? Konieczne jest stosowanie oprogramowania, które powiadomi nas o próbie modyfikowania rejestru, lub samodzielnie go zablokuje. Jako że sporo aplikacji dodaje odpowiednie zapisy do autostartu, ta druga metoda może nie zadziałać pomimo aktywnej kontroli – pakiet zignoruje zagrożenie. Lepszym wyborem jest więc ręczna ochrona za pomocą oprogramowania do ochrony proaktywnej (np. moduły HIPS). Odpowiedni monit pytający się o pozwolenie na utworzenie klucza autostartu przy uruchomieniu pliku Worda powinien być dla nas na tyle podejrzany, aby natychmiast go zablokować.

Programy

Zobacz więcej
Źródło artykułu:www.dobreprogramy.pl
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Wybrane dla Ciebie
Komentarze (35)