Sicherheitsforscher bei Check Point haben einen vor kurzem entdeckte Malware zum besseren Verständnis des vollen Umfangs seiner Funktionalität und die Mechanismen des Autors durchgesetzt analysiert(mit) als Unterbrechung des Betriebs ist der beste Schutz.
Matsnu ist der Name der Malware-System von den Sicherheitsexperten von Check Point gegeben. Sie haben eingeschlossen, dass sie als Backdoor wirkt, nachdem es ein Computer infiltriert. Sowieso, andere Antivirus-Händler erkennen es als Boxed.DQH (AVG) oder Androm Backdoor (Kaspersky).
Sobald Ihre Maschine kompromittiert, Matsnu Malware fungiert als Backdoor und konnte Dateien von Befehl herunterladen und Steuer (C&C) Server und führen sie. Sie tut es durch DGA als diese Technik die Malware von jedwedem Versuch Abschirmungen an Domänen herunterzufahren, String-Dumping oder schwarze Liste abgeladen Domänen. Die Sachverständigen der Check Point angeben, dass die Analyse dieses Prozesses eine echte Herausforderung gewesen, da es verschiedene anti-Auseinanderbauen Merkmale und Verpackungstechniken hat.
Verschlüsselte Info auf C Delivered&C über HTTP
Wenn Matsnu installiert, es kann variiert Informationen über das System sammeln. Beispielsweise, es könnte Benutzer- und Computernamen sammeln, Version des Betriebssystems, Plattform-Architektur, Daten über die Grafikkarte und die CPU.
Um festzustellen, ob es in einer virtuellen Umgebung ausgeführt wird oder nicht, es überprüft auch, bestimmten Registrierungsschlüssel. Diese Überprüfung könnte Malware-Analyse Versuch warnen vor.
Asymmetrischer RSA-Verschlüsselungsalgorithmus ist die Methode, die verwendet wurde, um alle gesammelten Informationen Pakete von dem infizierten Rechner zu verschlüsseln. Dieser Algorithmus basiert auf zwei verschiedene Schlüssel - öffentliche und private, und wird derzeit als die stärkste Art der Verschlüsselung sein. Ransomware-Bedrohungen wie Crypto beschäftigen auch die RSA-Verschlüsselung.
Der öffentliche Schlüssel wird für einen Verschlüsselungsprozess verwendet. Der private Schlüssel ist das Geheimnis ein und ist für den Prozess der Entschlüsselung. Matsnu verschlüsselt jedes Paket von dem Client an den C geschickt&C-Server einen öffentlichen RSA-Schlüssel und speichert sie in dem Speicher unter Verwendung von. Wenn die Informationen auf diese Weise gesperrt, Matsnu setzt seine Aktion. Es kodiert für Infopaket über Base64-Schema und sendet die Informationen als HTTP-Paketinhalt an den Server. Jedes Paket, das der Client empfängt von der C&C-Server mit AES und manueller Verschlüsselungsroutine verschlüsselt.
DGA Mechanismus erhöht Vielseitigkeit zu Deaktivierungen
Die technische kurz zeigt, dass Matsnu eine Liste der hart codierte Domänen besitzt, die die C kontaktieren&C-Server. Experten erklären, dass es neue temporäre Domains erstellen kann DGA Verwendung (Domain-Erzeugungsalgorithmus).Diese Aktion ermöglicht es Cyber-Kriminellen registrieren, nutzen und kommunizieren mit dem infizierten Rechner.
Das Verfahren kann sich als wirksam gegen nimmt die Botnet nach unten und in der Art der Schutzmethoden, wenn die Forscher den Erzeugungsalgorithmus nicht brechen.
Weitere Informationen über die gesamte Analyse auf der sogenannten Matsnu sind in die technische kurze von der Check Point Forscher bereitgestellt Skuratovich.