pesquisadores de segurança da Check Point analisaram um malware recém-descoberto para melhor compreender o escopo completo da sua funcionalidade e os mecanismos imposta pelo autor(com) como a interrupção da operação é a melhor proteção.
Matsnu é o nome dado ao sistema de malware pelos especialistas em segurança da Check Point. Eles têm fechado que ele age como um backdoor depois que se infiltra em um computador. De qualquer forma, outros comerciantes antivírus reconhecê-lo como Boxed.DQH (AVG) ou backdoor Androm (Kaspersky).
Uma vez que a sua máquina está comprometida, Matsnu atos malware como um backdoor e pode baixar arquivos de comando e controle (C&C) servidor e executá-los. Fá-lo através da DGA como esta técnica protege o malware de qualquer tentativa de desligar domínios, seqüência de dumping ou lista negra domínios objecto de dumping. especialistas da Check Point afirmam que a análise desse processo tem sido um verdadeiro desafio, pois tem várias características anti-desmontagem e técnicas de embalagem.
Informações criptografada é entregue a C&C através de HTTP
Quando Matsnu está instalado, ele pode reunir informações variadas sobre o sistema. Por exemplo, ele poderia coletar usuário e nome do computador, versão do sistema operacional, arquitetura de plataforma, dados sobre a placa gráfica e CPU.
Para determinar se ele é executado em um ambiente virtual ou não, ele também verifica determinadas chaves do Registro. Esta verificação pode alertar sobre tentativa análise de malware.
RSA algoritmo criptográfico assimétrico é o método que foi utilizado para encriptar todos os pacotes de informação recolhidos a partir da máquina infectada. Este algoritmo baseia-se em duas chaves diferentes - público e privado, e atualmente é considerado o tipo mais forte de criptografia. ameaças ransomware como CryptoWall também empregam criptografia RSA.
A chave pública é usada para um processo de criptografia. A chave privada é o segredo e é para o processo de descriptografia. Matsnu criptografa cada pacote enviado pelo cliente para o C&servidor C usando uma chave pública RSA e armazena na memória. Quando a informação é bloqueado desta forma, Matsnu continua sua ação. Ele codifica informações pacote através esquema Base64 e envia a informação como um conteúdo de pacotes HTTP para o servidor. Cada pacote que o cliente recebe do C&servidor C é criptografado com AES e de rotina criptografia manual.
Mecanismo DGA Aumenta a versatilidade para Takedowns
O resumo técnico revela que Matsnu possui uma lista de domínios codificados duros que entre em contato com o C&Servidor C. Especialistas explicam que ele pode criar novos domínios temporários utilizando DGA (algoritmo de geração de domínio).Essa ação permite que os cibercriminosos se registrar, usar e se comunicar com a máquina infectada.
O método pode revelar-se eficaz contra a derrubar a botnet e ficar no caminho dos métodos de proteção, se os pesquisadores não quebrar o algoritmo de geração.
Mais informações sobre toda a análise sobre o chamado Matsnu está disponível em o resumo técnico fornecidas pela Check Point pesquisador Skuratovich.