Uzmanlar geçen hafta görülmüş Upatre malware yeni varyantı bildirmiştir. yeni bir sürümü daha gelişmiş olduğunu ve C şifrelenmiş iletişimi kullanabilir&C sunucusu.
Daha erken, Tehdit uzak sunucuya etkilenen PC'den bilgi göndermek için standart dışı bağlantı noktalarını kullanarak HTTP trafiği dayanıyordu, hangi olası kötü amaçlı yazılımın etkinliğini engelleme yapılmış.
Yeni Kullanıcı-Ajan ile Upatre
Cisco'nun güvenlik istihbarat grubunun Talos gelen Araştırmacılar yeni varyant ilk fark vardı. söylendiğine göre, kötü amaçlı yazılımın modifikasyonlar kullanımlarından biri, icanhazip.com onun yerine checkip.dyndns Hedefin IP adresini tanımak.
Upatre da algılama önlemek için yeni bir mekanizma var - tehdit C ile iletişim kurar&meşru bir gibi görünür ve zorlukla zararlı trafik ile ilişkili olabilir, yeni bir kullanıcı aracısı yoluyla C sunucusu.
C Şifreli Haberleşme&C Sunucusu
Yeni Upatre zararlı yazılım Güvenli Yuva Katmanı kullanır (SSL) kriptografik protokol etkilenen makine ve komuta kontrol sunucusu arasında değiş tokuş ediliyor ne tür bilgiler kapsayacak şekilde.
Cisco araştırmacılar zararlı yazılım olmasına rağmen “her zaman küçük bir SSL bileşeni olmuştur” dikkat, bu ilk kez uzmanlar iletişim süreci için SSL tam bir geçiş gözlemlemek olduğunu. şifrelenmemiş iletişimin tek parça IP adresini tanımlama işlemidir. En kısa sürede bu görev tamamlanır tamamlanmaz, Trafik tamamen şifreli alır.
önceki Upatre varyantları büyük bir kısmı bir çalıştırılabilir olan bir PDF dosyası olarak hedeflenen makine dağıtıldı. Kurban bunu başlattı kez, Bir Adobe dokümanı indirmek istiyorum tehdit PC kullanıcıya sunmak.
Geçen Upatre versiyonu artık bu dağıtım tekniği güvenmez. Yerine, yükü arka planda indirilirken.
Uzmanlar tarafından gözlemlenen değişiklikler engellemek için kolay kabul edilmiştir tehdit C trafik kısa sürede o sistemi bozar olarak algılanmasını önlemek ve gizlemek yapabiliyor malware gelişmiş bir parçası dönüşebilir işaret&C sunucusu.