Троянец PlugRAT маскируется под отладчик Microsoft для обхода антивируса
Троянец PlugRAT маскируется под отладчик Microsoft для обхода антивируса. Фото: СС0
Эксперты по кибербезопасности из Trend Micro недавно обнаружили неизвестного злоумышленника, использующего x64dbg для доставки трояна. x64dbg — это инструмент отладки с открытым исходным кодом, который, как утверждается, довольно популярен в сообществе разработчиков. Обычно он используется для проверки кода режима ядра и пользовательского режима, аварийных дампов или регистров ЦП.
Однако здесь он используется в атаке, известной как неопубликованная загрузка DLL.
Чтобы программа работала правильно, ей нужен определенный файл .DLL. Если имеется несколько DLL-файлов с одинаковым именем, сначала будет запущен тот, который находится в той же папке, что и исполняемый файл, что и используют хакеры. Предоставляя модифицированный файл DLL вместе с программой, они гарантируют, что законное программное обеспечение в конечном итоге вызовет вредоносное ПО.
В этом случае программное обеспечение имеет действующую цифровую подпись, которая может «запутать» некоторые инструменты безопасности, пояснили исследователи. Это позволяет злоумышленникам «летать незаметно», сохранять постоянство, повышать привилегии и обходить ограничения на выполнение файлов.
Из сообщения исследователей
«Обнаружение и анализ атаки вредоносного ПО с использованием отладчика с открытым исходным кодом x32dbg.exe [32-разрядный отладчик для x64dbg] показывает нам, что сторонняя загрузка DLL по-прежнему используется злоумышленниками сегодня, поскольку это эффективный способ обойти систему безопасности. измеряет и получает контроль над целевой системой», — говорится в сообщении Trend Micro. измеряет и получает контроль над целевой системой. Злоумышленники продолжают использовать эту технику, поскольку она использует фундаментальное доверие к законным приложениям. Эта техника останется жизнеспособной для злоумышленников, чтобы доставить вредоносного ПО и получить доступ к конфиденциальной информации, пока системы и приложения продолжают доверять динамическим библиотекам и загружать их».
Лучший способ защититься от таких угроз — убедиться, что вы знаете, какие программы вы запускаете, и доверяете тому, кто поделился исполняемым файлом. Trend Micro считает, что атаки с боковой загрузкой останутся актуальным вектором атак на долгие годы, поскольку они используют «фундаментальное доверие к законным приложениям».
Из сообщения исследователей:
«Этот метод будет оставаться жизнеспособным для злоумышленников для доставки вредоносного ПО и получения доступа к конфиденциальной информации до тех пор, пока системы и приложения продолжают доверять динамическим библиотекам и загружать их».
Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
Комментариев пока не было