Sikkerhed forskere ved Check Point har analyseret en nylig opdaget malware til bedre at forstå det fulde omfang af sin funktionalitet og de mekanismer håndhæves af forfatteren(med) som afbrydelse af operationen er den bedste beskyttelse.
Matsnu er navnet givet til malware system ved de sikkerhedseksperter ved Check Point. De har vedlagt, at det virker som en bagdør efter det infiltrerer en computer. Alligevel, andre antivirus købmænd genkende det som Boxed.DQH (AVG) eller Androm bagdør (Kaspersky).
Når din maskine er kompromitteret, Matsnu malware fungerer som en bagdør og kunne downloade filer fra kommando og kontrol (C&C) server og udføre dem. Det gør det gennem DGA som denne teknik skjolde malware fra ethvert forsøg på at lukke domæner, snor dumping eller sortlistning dumpet domæner. Check Point eksperter anfører, at analysen af denne proces har været en reel udfordring, da det har forskellige anti-demontering funktioner og pakning teknikker.
Krypteret Info leveres til C&C gennem HTTP
Når Matsnu installeres, det kan indsamle varieret information om systemet. For eksempel, det kunne indsamle bruger og computer navn, version af operativsystemet, platform arkitektur, data om grafikkortet og CPU.
For at afgøre, om det kører i et virtuelt miljø eller ej, det kontrollerer også visse registreringsdatabasenøgler. Denne kontrol kunne advare om malware analyse forsøg.
RSA asymmetrisk kryptografisk algoritme er den metode, der blev brugt til at kryptere alle indsamlede info pakker fra den inficerede maskine. Denne algoritme er baseret på to forskellige nøgler - offentlige og private, og er i øjeblikket anses for at være den stærkeste form for kryptering. Ransomware trusler som CryptoWall ansætte også RSA-kryptering.
Den offentlige nøgle bruges til en krypteringsmetode. Den private nøgle er hemmeligheden én og er til processen med dekryptering. Matsnu krypterer hver pakke sendes af klienten til C&C server ved hjælp af en RSA offentlig nøgle og gemmer det i hukommelsen. Når informationen er låst på denne måde, Matsnu fortsætter sin indsats. Det koder info pakke via Base64 ordningen og sender oplysningerne som en HTTP-pakke indhold til serveren. Hver pakke, som klienten modtager fra C&C er krypteret med AES og manuel kryptering rutine.
DGA Mechanism Øger Alsidighed til nedtagninger
Den tekniske kort afslører, at Matsnu besidder en liste over hårde kodede domæner, kontakt C&C server. Eksperter forklarer, at det kan skabe nye midlertidige domæner udnytter DGA (Domæne generation algoritme).Denne handling gør det muligt for cyberkriminelle at registrere, anvende og kommunikere med den inficerede maskine.
Metoden kan vise sig effektiv mod at tage ned botnettet og komme i vejen for beskyttelse metoder, hvis forskerne ikke bryder generation algoritme.
Mere information om hele analysen på den såkaldte Matsnu er tilgængelig i den tekniske korte leveres af Check Point forsker Skuratovich.