Beveiliging onderzoekers van Check Point heeft een recent ontdekte malware geanalyseerd voor een beter begrip van de volledige omvang van de functionaliteit en de mechanismen afgedwongen door de auteur(met) als verstoring van de operatie is de beste bescherming.
Matsnu is de naam gegeven aan de malware-systeem door de security experts van Check Point. Zij hebben afgesloten dat het fungeert als een achterdeur nadat het infiltreert een computer. Hoe dan ook, andere antivirus handelaren herkennen als Boxed.DQH (AVG) of Androm backdoor (Kaspersky).
Zodra uw machine in het gedrang komt, Matsnu malware fungeert als een backdoor en kon downloaden van bestanden van command and control (C&C) server en voer ze uit. Het doet dit door DGA als deze techniek schermt de malware van elke poging tot het afsluiten domeinen, koord dumping of zwarte lijst domeinen gestort. De deskundigen van de Check Point's stellen dat de analyse van dit proces een echte uitdaging is geweest zoals zij heeft diverse anti-demonteren functies en verpakkingstechnieken.
Gecodeerde informatie wordt geleverd aan C&C via HTTP
Wanneer Matsnu is geïnstalleerd, het kan gevarieerd aanbod aan informatie over het systeem te verzamelen. Bij voorbeeld, het zou kunnen gebruikers- en computernaam verzamelen, versie van het besturingssysteem, platformarchitectuur, gegevens over de grafische kaart en de CPU.
Om te bepalen of deze wordt uitgevoerd in een virtuele omgeving of niet, Ook controleert bepaalde registry keys. Deze controle kan waarschuwen voor malware analyse poging.
RSA asymmetrische cryptografische algoritme is de methode die werd toegepast op alle verzamelde informatie pakketten versleutelen van de geïnfecteerde machine. Dit algoritme is gebaseerd op twee verschillende toetsen - publieke en private, en wordt momenteel beschouwd als de sterkste vorm van encryptie zijn. Ransomware bedreigingen zoals CryptoWall ook gebruikmaken van RSA-encryptie.
De publieke sleutel wordt gebruikt voor een coderingsproces. De private sleutel is het geheim een en is voor het proces van decryptie. Matsnu versleutelt elk pakket door de cliënt naar de C&C server met behulp van een RSA publieke sleutel en slaat deze op in het geheugen. Wanneer de informatie wordt geblokkeerd op deze manier, Matsnu zet haar actie. Het codeert info packet via Base64-regeling en stuurt de informatie als een HTTP-pakket content naar de server. Elk pakket dat de cliënt van de C&C server wordt versleuteld met AES en handmatige encryptie routine.
DGA Mechanism Verhoogt Veelzijdigheid om Takedowns
De technische korte blijkt dat Matsnu beschikt over een lijst van hard gecodeerde domeinen die contact opnemen met de C&C server. Experts verklaren dat het nieuwe tijdelijke domeinen gebruik te maken van DGA kan creëren (Domain generatie algoritme).Deze actie maakt het mogelijk cybercriminelen om te registreren, te gebruiken en te communiceren met de geïnfecteerde machine.
De werkwijze kan effectief keren tegen het heffen van het botnet en krijgen in de manier van bescherming methoden als de onderzoekers niet de generatie algoritme te doorbreken.
Meer informatie over de hele analyse van de zogenaamde Matsnu is beschikbaar in de technische beknopte verstrekt door de Check Point onderzoeker Skuratovich.