Sikkerhetsforskere på Check Point har analysert en nylig oppdaget malware for bedre å forstå det fulle omfanget av funksjonalitet og mekanismene håndheves av forfatteren(med) som avbrudd av operasjonen er den beste beskyttelsen.
Matsnu er navnet gitt til malware system av sikkerhetseksperter på Check Point. De har vedlagt at det fungerer som en bakdør etter at den infiltrerer en datamaskin. Uansett, andre antivirus kjøpmenn gjenkjenne det som Boxed.DQH (AVG) eller Androm bakdør (Kaspersky).
Når maskinen er kompromittert, Matsnu malware fungerer som en bakdør og kan laste ned filer fra kommando og kontroll (C&C) server og kjøre dem. Det gjør det gjennom DGA som denne teknikken beskytter malware fra ethvert forsøk på nedleggelse domener, streng dumping eller svartelistet dumpet domener. Den Check Point eksperter angi at analysen av denne prosessen har vært en stor utfordring som den har en rekke anti-demontering funksjoner og pakking teknikker.
Kryptert informasjon leveres til C&C gjennom HTTP
Når Matsnu er installert, det kan samle variert informasjon om systemet. For eksempel, det kan samle bruker og datamaskinnavnet, versjon av operativsystemet, plattform arkitektur, data om grafikkortet og CPU.
For å avgjøre om det kjører i et virtuelt miljø eller ikke, det sjekker også visse registernøkler. Denne kontrollen kan varsle om malware analyse forsøk.
RSA asymmetrisk kryptografisk algoritme er den metode som ble brukt til å kryptere alle innsamlede informasjon pakker fra infiserte maskinen. Denne algoritmen er avhengig av to ulike nøkler - offentlig og privat, og er antatt å være den sterkeste typen kryptering. Ransomware trusler som CryptoWall også bruke RSA-kryptering.
Den offentlige nøkkelen brukes for en krypteringsprosess. Den private nøkkelen er hemmelig en og er for prosessen med dekryptering. Matsnu krypterer hver pakke som sendes av klienten til den C-&C-server ved hjelp av en RSA offentlig nøkkel og lagrer den i minnet. Når informasjonen er låst på denne måten, Matsnu fortsetter sin handling. Det koder info pakke via Base64 ordningen og sender informasjonen som en HTTP-pakke innhold til serveren. Hver pakke som klienten mottar fra C-&C-serveren er kryptert med AES og manuell kryptering rutine.
DGA Mechanism Øker Allsidighet til fjerning i
Den tekniske kort avslører at Matsnu besitter en liste over hardkodet domener som kontakt med C&C-serveren. Eksperter forklarer at det kan skape nye midlertidige domener utnytte DGA (Domene genereringsalgoritmen).Denne handlingen gjør at nettkriminelle å registrere, bruk og kommuniserer med den infiserte maskinen.
Metoden kan vise seg effektiv mot å ta ned botnet og komme i veien for beskyttelse metoder hvis forskerne ikke bryte den generasjonen algoritmen.
Mer informasjon om hele analyse på den såkalte Matsnu er tilgjengelig i teknisk kort gitt av Check Point forskeren Skuratovich.