На прошлой неделе аналитиками компании Minerva - это компания, специализирующаяся на кибербезопасности. Она разработала уникальный подход к защите от современных киберугроз, который называется "Anti-Evasion Platform". Этот подход позволяет обнаруживать и блокировать вредоносное ПО, которое обходит традиционные механизмы защиты. Minerva предлагает своим клиентам комплексное решение для защиты от кибератак, включая системы обнаружения и предотвращения вторжений, защиту от атак с использованием вредоносных программ, защиту от фишинга и многое другое. Компания также предлагает услуги консультации и обучения для повышения уровня кибербезопасности в организациях. Minerva была обнаружена новая скрытая вредоносная программа под названием «Beep», обладающая множеством функций, позволяющих избежать анализа и обнаружения программным обеспечением безопасности. Хотя вредонос Beep всё ещё находится в разработке и в нём пока отсутствуют несколько ключевых функций, в настоящее время он уже позволяет злоумышленникам загружать и выполнять дополнительные полезные нагрузки на скомпрометированных устройствах. Beep используется в первую очередь для кражи информации. Для работы программы задействуется три отдельных компонента: дроппер, инжектор и полезная нагрузка. Дроппер – вредоносное ПО, используемое для установки на целевую систему других угроз. Дропперы содержат в себе финальную полезную нагрузку и не соединяются с C&C-серверами. Это делает их менее универсальными, но зато более незаметными. Инжектор - это программа или код, который внедряется в другую программу или процесс операционной системы с целью изменения ее поведения. Инжекторы могут быть использованы злоумышленниками для проведения различных видов атак. Например, для изменения функциональности программ или для захвата управления над процессом, изменения содержимого памяти или получения доступа к конфиденциальной информации." Полезная_нагрузка. В контексте кибербезопасности «полезная нагрузка» - это часть вредоносного программного обеспечения, которая производит деструктивные действия с данными, копирование информации с заражённого компьютера и т.д. (в отличие от транспортной части/инфекционной части, которая занимается доставкой и заражением устройства).". Дроппер («big.dll») создаёт новый раздел реестра со значением «AphroniaHaimavati», который содержит сценарий Windows PowerShell в кодировке base64. Этот сценарий запускается каждые 13 минут с помощью запланированной задачи Windows. Когда скрипт выполняется, он загружает данные и сохраняет их в инжектор с названием AphroniaHaimavati.dll. Инжектор — это компонент, который использует ряд методов защиты от отладки и защиты от виртуальных машин для внедрения полезной нагрузки в законный системный процесс «WWAHost.exe» с помощью «опустошения процесса» («Process Hollowing»), чтобы избежать обнаружения антивирусными средствами, запущенными на хосте. Наконец, основная полезная нагрузка пытается собрать данные со взломанного компьютера, зашифровать их и отправить на C2-сервер. Во время анализа специалистами Minerva, жёстко прописанный в коде C2-сервер был отключен, но вредоносная программа пыталась подключиться к нему даже после 120 неудачных попыток. Схема работы вредоносной программы Beep Что отличает вредоносную программу Beep от других, так это использование множества методов на протяжении всего процесса выполнения, чтобы избежать обнаружения и анализа антивирусными решениями и исследователями кибербезопасности. Специалисты Minerva обнаружили 8 различных техник, которые вредонос применяет в своей работе, и подробно описали их в своём отчёте . Beep — это пример вредоносного ПО, которое в значительной степени ориентировано на уклонение, внедряющее сразу несколько механизмов антианализа, прежде чем завершить процесс кражи данных и выполнения вредоносных команд. Хотя в реальных атаках он встречается редко, Beep в будущем может стать серьёзной угрозой, на которую следует обратить внимание уже сейчас. Подробнее: https://www.securitylab.ru/news/536467.php
