חוקרי אבטחה בצ'ק פוינט ניתחו זדוניות גילו לאחרונה עבור הבנה טובה יותר את ההיקף המלא של הפונקציונליות שלו ואת מנגנוני נאכף על ידי המחבר(הים) כמו שיבוש של המבצע היא ההגנה הטובה ביותר.
Matsnu הוא השם שניתן למערכת הזדונית על ידי מומחי האבטחה בצק פוינט. הם סגורים כי זה משמש אחורי לאחר שהן חודרות למחשב. בכל מקרה, סוחרים אנטי וירוס אחרים מכירים אותו בתור Boxed.DQH (AVG) או אחורי Androm (Kaspersky).
ברגע שהמכשיר שלך נפגע, Matsnu מעשים זדוניים כמו אחורי יכול להוריד קבצים מתוך שליטה ובקרתי (ג&ג) שרת ולבצע אותם. הוא עושה זאת באמצעות DGA כמו טכניקה זו מגנה את התוכנות זדוניות מכל ניסיונות כיבוי תחומים, מחרוזת שלכת או חרם בינלאומי תחומים זרקו. המומחים של צ'ק פוינט להצהיר כי ניתוח של תהליך זה כבר אתגר אמיתי שכן יש תכונות אנטי-פירוק שונים וטכניקות האריזה.
מידע מוצפן מועבר C&C דרך HTTP
כאשר Matsnu מותקן, זה יכול לאסוף מידע ומגוון על המערכת. לדוגמה, זה יכול לאסוף המשתמש ואת שם המחשב, גרסת מערכת ההפעלה, ארכיטקטורת פלטפורמה, נתונים על כרטיס מסך ואת המעבד.
כדי לקבוע אם הוא פועל בסביבה וירטואלית או לא, זה גם בודק מפתחות רישום מסוימים. בדיקה זו יכולה להתריע על ניסיון ניתוח תוכנות זדוניות.
אלגוריתם אסימטרי הצפנת RSA הוא השיטה ששמשה להצפין את כל מנות המידע שנאספו מהמכונית הנגועה. אלגוריתם זה מסתמך על שני מקשים שונים - ציבוריים ופרטיים, וכיום הוא נחשב להיות סוג החזק של הצפנה. איומים כופרים כגון CryptoWall גם להעסיק הצפנת RSA.
המפתח הציבורי משמש עבור תהליך ההצפנה. המפתח הפרטי הוא אחד הסוד והוא בתהליך של פענוח. Matsnu מצפין כל חבילה שנשלחה על ידי הלקוח אל C&שרת C באמצעות מפתח ציבורי RSA ומאחסן אותו בזיכרון. כאשר המידע נעול ככה, Matsnu ממשיכה הפעולה שלה. זה מקודד מנות מידע באמצעות ערכת Base64 ושולח את המידע כקובץ תוכן החבילה HTTP לשרת. כל מנה כי הלקוח מקבל מן C&שרת C מוצפן עם AES ושגר הצפנה ידנית.
מנגנון DGA מגדילה צדדי והסרות
התדריך הטכני מגלה כי Matsnu מחזיק רשימה של תחומים מקודדים קשה כי פנו C&שרת C. מומחים מסבירים כי זה יכול ליצור תחומים זמניים חדשים ניצול DGA (אלגוריתם הדור דומיין).פעולה זו מאפשרת ופושעי אינטרנט להירשם, להשתמש ולתקשר עם המכונית הנגועה.
השיטה יכולה להתברר יעיל נגד לקיחה במורד botnet ולקבל בדרכו של שיטות הגנה אם החוקרים לא לשבור את אלגוריתם הדור.
מידע נוסף על הניתוח השלם על Matsnu שנקרא זמין התקציר הטכני המסופקים על ידי חוקר צ'ק פוינט Skuratovich.