Wirus z chmury: Zimowe usprawnienia w dostarczaniu trojanów

Wirus z chmury: Zimowe usprawnienia w dostarczaniu trojanów07.02.2021 09:05
(fot. Image by Gerd Altmann, Pixabay)
Artykuł sponsorowany

Podczas szczytu epidemii trojanów Emotet i Danabot kwestią szczególnie zaskakującą nie była złożoność samego wirusa, ale banalność kampanii. Emotet przychodził mailem, treść wiadomości mówiła o bliżej nieokreślonej "fakturze", a załącznik był plikiem VBS. Mimo to, trojan ten zwerbował armię komputerów i stanowił realne zagrożenie. Najwyraźniej tyle wystarczyło…

Zasięg kampanii tego rodzaju zmniejszył się, gdy nawet operatorzy lokalnych, małych serwerów pocztowych zaczęli wycinać VBS z załączników, a opiekunowie stacji roboczych – wyłączać obsługę skryptów. Również antywirusy zaczęły być o wiele bardziej podejrzliwe względem cudacznych plików wykonywalnych z poczty. Pierwszy krok infekcji musiał więc stać się mniej oczywisty. Widzimy dziś na tym polu progres względem ostatnich lat. Ale wciąż nieco zaskakuje, że przy takiej złożoności trojanów, infekcje zaczynają się od tak marnych sztuczek.

Wirus z chmury

Nowa kampania idzie z duchem czasu. Jako, że przez rok pracy zdalnej wielu użytkowników nauczyło się udostępniać chmurowe pliki celem współpracy, zamiast rozsyłać je mailem i generować setki kopii, złośliwe maile zaczynają prowadzić na dysk OneDrive zamiast załączać plik bezpośrednio. Ma to kilka zalet (z perspektywy przestępców) o których warto wspomnieć.

Defender już radzi sobie z zagrożeniem (fot. Kamil Dudek)
Defender już radzi sobie z zagrożeniem (fot. Kamil Dudek)

OneDrive skanuje pliki antywirusowo "po swojej stronie" i robi to w bardziej dogłębny sposób, niż lokalny Windows Defender, z oczywistych powodów (skala). Dlatego pliki pochodzące z OneDrive'a są uznawane za bezpieczne przez domniemanie: ufa się im bardziej niż plikom "po prostu" pobranym z internetu. Ponadto, linki udostępniania Dropbox, Google Drive i OneDrive itd. chwilowo przestały masowo lądować w spamie. Upływający w realiach pracy zdalnej rok 2020 wymusił wzrost zaufania do udostępnianych tą drogą plików.

Link z maila jest łączem bezpośrednim do pliku, a nie do strony z widokiem udostępnionego katalogu. Pozwala to w dalszym ciągu dokonywać bezpośredniej interakcji z plikiem bez konieczności załączania go do maila. Przy okazji nie wysyła ofiary na stronę z detalicznymi informacjami o zasobie udostępnionym. To korzystne przy rozsyłaniu wirusów, owe informacje muszą wszak wyglądać podejrzanie. Lepiej się nimi nie chwalić, jeżeli ktoś ma się nabrać.

Obraz płyty

Sam plik jest z kolei archiwum w formacie… ISO. To interesujący, choć zrozumiały wybór. ISO nie jest "wykonywalne", więc przechodzi przez filtry pobierania. Jest możliwe do przeskanowania przez antywirusy, ale są one mniej skore do prób usuwania wirusów z wnętrza ISO niż z wnętrza ZIP ze względu na ryzyko uszkodzenia struktury. Antywirusy mogą być więc nieco zbyt wyrozumiałe względem obrazów ISO, a jednocześnie system Windows dostarcza rozbudowaną ich obsługę, w postaci m.in. natywnego montowania.

Zagrożenie jest wariantem znanym od dawna, acz z nowym nośnikiem (fot. Kamil Dudek)
Zagrożenie jest wariantem znanym od dawna, acz z nowym nośnikiem (fot. Kamil Dudek)

Podesłanie złośliwego pliku ISO, który zostanie zamontowany (i przez to zablokowany przed usunięciem) w systemie doprowadzi do stanu, w którym payload wirusa będzie jednocześnie łatwo dostępny i trudny do usunięcia. Teraz przestępcy muszą zadbać o to, by wirus nie był wykrywalny od razu ("z definicji") a jedynie potencjalnie, w przypadku wykonania podejrzanych czynności (behawioralnie/chmurowo). Zamontowane ISO nie zostanie też poddane kwarantannie…

Na zamówienie

Wreszcie, przychodzi kolej na samego wirusa. Tutaj także wprowadzono pewne innowacje, złośliwy kod stał się modularny. Sens podziału złośliwego pliku na moduły jest następujący: jeżeli plik dostarcza dekompresor i pewien dziwaczny plik, to sam z siebie jest "niewinny". Plik ten nie wykonuje żadnych złośliwych operacji poza składaniem payloadu. Czyli de facto niewiele się różni od programów do archiwizacji, przynajmniej pod tym względem. Dopóki więc nie zostanie zidentyfikowany konkretną definicją, nie jest natychmiastowym podejrzanym.

(fot. Kamil Dudek)
(fot. Kamil Dudek)

Taka struktura pozwala też na "komercjalizację": dekoder i iniektor mogą być takie same, a payload zmienny. Wskazują na to wpisy w encyklopediach antywirusowych. Wyszukiwanie informacji na temat iniektora TestProj.dll (swoją drogą jest to nazwa mająca na celu utrudnianie wyszukiwania, bo jest generyczna dla projektów Visual Studio) dostarcza dowody. Dr. Web pisze, że wykorzystano go do złodzieja haseł, F-Secure pokazuje także ransomware.

Jak zwykle, bardzo wyraźny jest rosnący poziom złożoności: unowocześniona, ale dalej oczywista kampania mailowa, nieoczywisty, ale łatwo wykrywalny nośnik oraz mocno zawiły, nieodczytywalny i złośliwy rdzeń. Taki podział również wskazuje na biznesowe podejście do tworzenia wirusów: różne "komórki" mają różny poziom umiejętności, co zapewne ma swoje odzwierciedlenie w kosztach.

Jedno się, mimo wszystko, nie zmienia: wystarczy tylko trochę uwagi, by całkowicie uniknąć zagrożenia.

Artykuł sponsorowany
Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na