«Կասպերսկի» ընկերությունն առաջին անգամ հայտնաբերել է Windows-ի իրադարձությունների մատյաններում վնասաբեր կոդի պահպանման դեպքեր
«Կասպերսկի» ընկերության փորձագետները անսովոր վնասաբեր արշավ են հայտնաբերել։ Այդտեղ վնասաբեր ծրագրային ապահովման (ԾԱ) պահպանման համար օգտագործվում են Windows-ի իրադարձությունների մատյանները։ Ավելին՝ գրոհողները կիրառում են տեխնիկաների լայն սպեկտր, այդ թվում՝ ներթափանցումը փորձարկելու համար նախատեսված SilentBreak և CobaltStrike օրինական գործիքները։ Վարակի շղթայի մեջ մտնում է նաև օժանդակ մոդուլների մի ամբողջ հավաքածու, որոնք գրված են նաև Go լեզվով։ Դրանք օգտագործվում են վերջին մակարդակի տրոյական ծրագրերի հայտնաբերումը դժվարացնելու համար։
Ընկերությունը տեղեկացնում Է, որ նախկինում փորձագետները չեն տեսել Windows-ի իրադարձությունների մատյանների ներսում վնասաբեր կոդը թաքցնելու տեխնիկան: Համակարգի առաջնային վարակման համար պատասխանատու է մոդուլը, որը գտնվում զոհի ներբեռնած արխիվում: Որոշ ֆայլեր դրանց նկատմամբ վստահության բարձրացման համար ստորագրված են թվային սերտիֆիկատով։ Այս շղթան ավարտվում է վարակված սարքերի հեռավար կառավարման համար նախատեսված միանգամից մի քանի տրոյացիներով: Դրանք տարբերվում են և հրամանների փոխանցման եղանակով (HTTP կամ անվանական ուղիներ), և նույնիսկ դրանց լրակազմով։ Տրոյացիների որոշ տարբերակներ ունեն նման տասնյակ հրամաններ։
«Միանգամից երկու կոմերցիոն գործիքների և մեծ քանակությամբ մոդուլների օգտագործումից բացի, մեզ շատ հետաքրքրեց Windows-ի իրադարձությունների մատյանում ծածկագրված շել-կոդի պահպանման փաստը: Համակարգում վնասաբեր ծրագրի ներկայությունը թաքցնելու այս տեխնիկան կարելի էր ավելացնել MITRE մատրից»,- մեկնաբանում է «Կասպերսկի» ընկերության կիբեռանվտանգության առաջատար փորձագետ Դենիս Լեգեզոն։
Անֆայլ ԾԱ-ից և նմանատիպ սպառնալիքներից պաշտպանվելու համար ընկերությունը խորհուրդ է տալիս տեղադրել արդյունավետ պաշտպանական լուծում, որում առկա է ֆայլերի վարքագծի անոմալիաները հայտնաբերելու և անֆայլ վնասաբեր ԾԱ-ն բացահայտելու հնարավորություն ընձեռող բաղադրիչ; օգտագործել EDR-լուծում և բարդ թիրախային գրոհների դեմ պայքարի գործիք, ինչպես նաև մոնիտորինգի կենտրոնի (SOC) աշխատակիցներին ապահովել ամենաթարմ վերլուծություններին հասանելիությամբ և պարբերաբար բարձրացնել նրանց որակավորումը մասնագիտական դասընթացների միջոցով; կիրառել վերջնական սարքերի պաշտպանության լուծումներ և մասնագիտացված ծառայություններ, որոնք կօգնեն պաշտպանվել առավել առաջավոր գրոհներից, թույլ են տալիս ճանաչել և դադարեցնել գրոհը վաղ փուլերում՝ մինչ չարագործները կհասնեն իրենց նպատակներին:
Windows-ի իրադարձությունների մատյանների օգտագործմամբ իրականացվող վնասաբեր արշավի մասին ավելի մանրամասն կարդացեք հղմամբ՝ https://securelist.com/a-new-secret-stash-for-fileless-malware/106393/։