Säkerhets forskare vid Check Point har analyserat en nyligen upptäckt skadlig kod för att bättre förstå den fulla omfattningen av dess funktionalitet och de mekanismer som upprätthålls av författaren(s) som avbrott i verksamheten är det bästa skyddet.
Matsnu är namnet på det skadliga programmet systemet av säkerhetsexperter på Check Point. De har bifogat att den fungerar som en bakdörr efter det infiltrerar en dator. I alla fall, andra antivirus handlare känner igen det som Boxed.DQH (AVG) eller Androm bakdörr (Kaspersky).
När maskinen äventyras, Matsnu malware fungerar som en bakdörr och kan ladda ner filer från styrning och kontroll (C&C) server och köra dem. Det gör det genom DGA som denna teknik skyddar skadlig kod från alla försök att stänga domäner, sträng dumpning eller svartlistning dumpade domäner. Check Point experter uppger att analysen av denna process har varit en verklig utmaning eftersom det har olika anti demontering funktioner och förpackningstekniker.
Krypterad information levereras till C&C via HTTP
När Matsnu installeras, det kan samla varierande information om systemet. Till exempel, det kan samla användare och datornamn, version av operativsystemet, plattformsarkitektur, data om grafikkortet och processorn.
För att avgöra om det körs i en virtuell miljö eller inte, Det kontrollerar också vissa registernycklar. Denna kontroll kan varna för malware analys försök.
RSA asymmetrisk krypteringsalgoritm är den metod som användes för att kryptera alla insamlade info paket från den infekterade maskinen. Denna algoritm bygger på två olika nycklar - offentliga och privata, och är för närvarande anses vara den starkaste typen av kryptering. Ransomware hot såsom CryptoWall använder också RSA-kryptering.
Den publika nyckeln används för en krypteringsprocess. Den privata nyckeln är hemligheten en och är processen för dekryptering. Matsnu krypterar varje paket sänt av klienten till C&C-server med hjälp av en RSA publik nyckel och lagrar den i minnet. När informationen är låst på detta sätt, Matsnu fortsätter sin verksamhet. Den kodar info paket via Base64 systemet och skickar informationen som en HTTP-paket innehåll till servern. Varje paket som kunden får från C&C-servern är krypterad med AES och manuell kryptering rutin.
DGA Mechanism Ökar Mångsidighet till takedowns
Den tekniska korthet visar att Matsnu har en lista med hårt kodade domäner som kontaktar C&C-server. Experter förklarar att det kan skapa nya tillfälliga domäner använder DGA (Domän generation algoritm).Denna åtgärd gör det möjligt för cyberbrottslingar att registrera, använda och kommunicera med den infekterade maskinen.
Metoden kan visa sig effektivt mot ta ner botnet och komma i vägen för skyddsmetoder om forskarna inte bryter generation algoritm.
Mer information om hela analys av så kallade Matsnu finns i den tekniska kort tillhandahålls av Check Point forskaren Skuratovich.