Les chercheurs en sécurité Check Point ont analysé un malware récemment découvert pour mieux comprendre toute l'étendue de ses fonctionnalités et les mécanismes appliqués par l'auteur(avec) que la perturbation de l'opération est la meilleure protection.
Matsnu est le nom donné au système des programmes malveillants par les experts de sécurité Check Point. Ils ont fermé qu'il agit comme une porte dérobée après infiltrats un ordinateur. En tous cas, autres marchands antivirus reconnaissent comme Boxed.DQH (AVG) ou porte dérobée Androm (Kaspersky).
Une fois que votre machine est compromise, Matsnu actes malveillants comme une porte dérobée et peut télécharger des fichiers de commande et de contrôle (C&C) serveur et les exécuter. Il le fait à travers cette technique DGA protège les logiciels malveillants de toute tentative de fermeture domaines, le dumping chaîne ou listes noires domaines sous-évaluées. Les experts de Check Point indiquent que l'analyse de ce processus a été un véritable défi car il a des caractéristiques différentes des anti-désassemblage et des techniques d'emballage.
Infos Encrypted est livré à C&C par HTTP
Lorsque Matsnu est installé, il peut recueillir des informations variées sur le système. Par exemple, il pourrait recueillir l'utilisateur et le nom de l'ordinateur, version du système d'exploitation, l'architecture de la plate-forme, des données sur la carte graphique et le processeur.
Pour déterminer si elle fonctionne dans un environnement virtuel ou non, il vérifie également certaines clés de registre. Cette vérification pourrait prévenir la tentative d'analyse des logiciels malveillants.
RSA algorithme cryptographique asymétrique est la méthode qui a été utilisée pour chiffrer tous les paquets d'information recueillies depuis la machine infectée. Cet algorithme repose sur deux clés différentes - publiques et privées, et est actuellement considéré comme le type de cryptage le plus puissant. menaces telles que Ransomware CryptoWall emploient également le cryptage RSA.
La clé publique est utilisée pour un processus de chiffrement. La clé privée est le secret est pour le processus de décryptage. Matsnu crypte chaque paquet envoyé par le client au C&serveur C en utilisant une clé publique RSA et le stocke dans la mémoire. Lorsque l'information est verrouillée de cette façon, Matsnu poursuit son action. Il code paquet info via système base64 et envoie les informations en tant que contenu de paquets HTTP au serveur. Chaque paquet que le client reçoit de la C&serveur C est crypté avec AES et la routine de cryptage manuel.
Mécanisme Polyvalence DGA Augmente de démantèlements
Le mémoire technique révèle que Matsnu possède une liste de domaines codés durs qui entrent en contact avec le C&Serveur C. Les experts expliquent que cela peut créer de nouveaux domaines temporaires utilisant la DGA (algorithme de génération de Domain).Cette action permet aux cybercriminels de vous inscrire, utiliser et communiquer avec la machine infectée.
La méthode peut se révéler efficace contre la prise sur le réseau de zombies et obtenir de la manière des méthodes de protection si les chercheurs ne cassent pas l'algorithme de génération.
Plus d'informations sur toute l'analyse sur le Matsnu soi-disant est disponible en le mémoire technique fourni par le chercheur Check Point Skuratovich.