I ricercatori di sicurezza di Check Point hanno analizzato malware scoperto di recente per una migliore comprensione della piena portata della sua funzionalità e dei meccanismi imposto dall'autore(con) come l'interruzione del funzionamento è la migliore protezione.
Matsnu è il nome dato al sistema del malware dagli esperti di sicurezza di Check Point. Hanno chiuso che agisce come una backdoor dopo si infiltra un computer. Comunque, altri commercianti antivirus riconoscono come Boxed.DQH (AVG) o backdoor Androm (Kaspersky).
Una volta che la macchina è compromessa, Matsnu atti di malware come una backdoor e potrebbe scaricare file da comando e controllo (C&C) server e eseguirli. Lo fa attraverso DGA come questa tecnica protegge il malware dal eventuali tentativi di spegnere i domini, stringa di dumping o di lista nera domini oggetto di dumping. Gli esperti di Check Point affermano che l'analisi di questo processo è stata una vera e propria sfida in quanto ha varie caratteristiche anti-smontaggio e le tecniche di imballaggio.
Info crittografato viene consegnato a C&C attraverso HTTP
Quando è installato Matsnu, può raccogliere informazioni sul sistema varia. Per esempio, potrebbe raccogliere utente e il nome del computer, versione del sistema operativo, architettura della piattaforma, dati sulla scheda grafica e la CPU.
Per determinare se viene eseguito in un ambiente virtuale o no, controlla anche alcune chiavi di registro. Questo controllo potrebbe avvertire del tentativo di analisi del malware.
RSA asimmetrica algoritmo di crittografia è il metodo che è stato utilizzato per crittografare tutti i pacchetti informazioni raccolti dalla macchina infetta. Questo algoritmo si basa su due chiavi diverse - pubblica e privata, ed è attualmente considerato il tipo più forte di crittografia. minacce ransomware quali CryptoWall impiegano anche la crittografia RSA.
La chiave pubblica viene utilizzato per un processo di crittografia. La chiave privata è quella segreto ed è per il processo di decrittazione. Matsnu crittografa ogni pacchetto inviato dal client al C&server di C utilizzando una chiave pubblica RSA e lo memorizza nella memoria. Quando l'informazione è bloccata in questo modo, Matsnu continua la sua azione. Codifica informazioni dei pacchetti tramite uno schema di Base64 e invia le informazioni come contenuto dei pacchetti HTTP al server. Ogni pacchetto che il client riceve dal C&server di C è criptato con AES e di routine cifratura manuale.
DGA meccanismo migliora la versatilità di Takedowns
La breve tecnica rivela che Matsnu possiede un elenco di domini hard coded che contattano il C&Server C. Gli esperti spiegano che può creare nuovi domini temporanei utilizzando DGA (algoritmo di generazione di dominio).Questa azione permette di registrare i criminali informatici, utilizzare e comunicare con la macchina infetta.
Il metodo può risultare efficace contro la presa verso il basso la botnet e ottenere nel modo di metodi di protezione se i ricercatori non si rompono l'algoritmo di generazione.
Maggiori informazioni su tutta l'analisi sulla cosiddetta Matsnu è disponibile in la breve tecnico fornito dal Check Point ricercatore Skuratovich.