Virus Bulletin :: Вредоносная программа GravityRAT измеряет температуру вашей системы

Автор: Мартин Гротен, 27 апреля 2018 г.

Исследователи Cisco Talos Уоррен Мерсер и Поль Расканьер недавно обнаружил и проанализировал 'GravityRAT', усовершенствованный троян удаленного доступа (RAT), который, по-видимому, использовался для целевых атак против организаций в Индии. Анализ этой части вредоносного ПО дает интересное представление о текущем состоянии разработки вредоносного ПО.

Вредоносное ПО доставляется через вредоносный документ Microsoft Office, который , вероятно, отправляется по электронной почте, что является обычным способом как целевого, так и оппортунистического вредоносного ПО для заражения устройств. Похоже, что авторы загрузили ранние версии вредоносного документа в VirusTotal , чтобы измерить обнаружение их кода целым рядом антивирусных продуктов.

В целом, использование VirusTotal таким образом дает автору вредоносного ПО только ограниченное представление о том, будет ли заблокирован фрагмент вредоносного ПО: VirusTotal использует статические антивирусные сканеры, и, следовательно, загрузка вредоносного файла в службу может только помочь его автору понять, будет ли он быть обнаружены как вредоносные, а не разрешено ли запускать вредоносные программы. Помимо механизма статического обнаружения, программное обеспечение безопасности конечных точек обычно включает в себя различные уровни защиты, которые направлены на предотвращение запуска как известных, так и неизвестных вредоносных программ.

Однако для вредоносного документа статическое обнаружение важно при определении того, будет ли он обходить продукт безопасности электронной почты; если файл не обнаружен, он с большей вероятностью сможет обойти такие меры безопасности, особенно если документ отправляется только в небольших количествах, поэтому в таких продуктах не запускаются детекторы защиты от спама.

Если файл открыт и макросы включены пользователем, будет загружена фактическая полезная нагрузка.

Троянец GravityRAT Remote Access (или Tool) заслуживает внимания тем, что использует не менее семи методов для определения того, работает ли он внутри виртуальной машины.

Многие современные вредоносные программы являются «осведомленными о ВМ», и когда они обнаруживают, что работают внутри виртуальной машины (и, следовательно, могут быть проанализированы человеком или изолированной программной средой обнаружения вредоносных программ), они либо завершаются, либо изменяются. его поведение. Общие методы обнаружения среды виртуальной машины включают в себя поиск следов гипервизора, оставленных на виртуальной машине, проверку имени компьютера и проверку количества ядер ЦП - все это делает GravityRAT.

Но он также использует новую технику, когда запрашивает температуру процессора - функция, которая обычно не поддерживается гипервизорами. Затем они ответят «не поддерживается», что показывает, что вредоносное ПО, вероятно, не запускается на реальной машине.

Затем они ответят «не поддерживается», что показывает, что вредоносное ПО, вероятно, не запускается на реальной машине

В течение многих лет между авторами вредоносных программ и разработчиками виртуальных машин и «песочниц» существовала непрерывная игра в кошки-мышки (кошки-крысы?). Подобные анализы помогают последним обновлять свои инструменты и, таким образом, заставляют авторов вредоносных программ работать еще усерднее.

Уоррен и Пол говорил на VB2017 в прошлом году и вернется на VB2018 в Монреале, чтобы обсуждать вредоносная программа «Олимпийский разрушитель». Регистрация для VB2018 откроется очень скоро.

Похожие

Дата окончания бета-тестирования Call of Duty WW2 и технические характеристики ПК Мы получим первый пр...
Дата окончания бета-тестирования Call of Duty WW2 и технические характеристики ПК Мы получим первый практический опыт с Call of Duty WW2 в рамках бета-тестирования. На консолях это было и ушло, и теперь настала очередь владельцев ПК. застрять. Бета-версия Call of Duty WW2 PC начнется в пятницу, 29 сентября, и закончится в понедельник, 2 октября . После этого следующий вкус игры будет, когда она выйдет 3 ноября. Точное время

Комментарии

Ведение коммерческой деятельности, в том числе системы таможенных пошлин и налогов?
Ведение коммерческой деятельности, в том числе системы таможенных пошлин и налогов? Как хочешь. Final Fantasy XIV - это много мероприятий, и каждый рано или поздно найдет что-то для себя удовлетворительное. Отдельные секторы игры объединяются в одно целое, один живой организм, неотъемлемой частью которого является каждый игрок. Здесь все полезны и найдется место для всех.
Какие самые редкие игры в вашей коллекции?

Кошки-крысы?
Ведение коммерческой деятельности, в том числе системы таможенных пошлин и налогов?
Какие самые редкие игры в вашей коллекции?
КРЕДИТ - БЛОК






Новости