- Регистрация
- 9 Май 2015
- Сообщения
- 1,071
- Баллы
- 155
- Возраст
- 52
Microsoft поставщиков программного обеспечения защитить процессы обновления в своих приложениях после обнаружения «хорошо спланированной, тонко организованной» атаки, в результате которой была взломана система обновления программного обеспечения.
Что о ней известно?
Шпионская кампания, получившая название WilySupply, скорее всего, будет финансово мотивированной и нацеленной в основном на компании, работающие в сфере финансов и платежных систем.
В этом случае злоумышленники использовали средство обновления для доставки «неподписанного исполняемого файла с низкой распространенностью», а затем сканировали сеть жертвы и устанавливали удаленный доступ.
Атака на процесс обновления доверенного программного обеспечения является отличным средством для злоумышленников, поскольку пользователи полагаются на механизм получения реальных обновлений и исправлений.
Microsoft отмечает, что такой же метод был использован в ряде атак: например, в 2013 году несколько южнокорейских организаций через вредоносную версию установщика SimDisk.
В чём отличие WilySupply от других атак?
У злоумышленников есть дополнительное преимущество в виде доступа к бесплатным инструментам для ручного тестирования с открытым исходным кодом, таким как Evil Grade. Это помогает использовать ошибочные реализации обновлений для внедрения в них зловредных программ.
Microsoft отмечает:
Загруженный исполняемый файл оказался вредоносным бинарником, который запустил сценарии PowerShell, связанные с оболочкой , что предоставило злоумышленнику контроль над удаленным компьютером. Малварь распознана как .
Microsoft также отмечает некоторые черты продвинутых злоумышленников. Одной из черт является использование саморазрушающихся исходных двоичных файлов и данных, хранящихся только в оперативной памяти, во избежание обнаружения антивирусом.
В феврале компания Kaspersky Security о росте количества обнаруженных вредоносных программ в банках по всему миру, в которых злоумышленники используют Meterpreter и стандартные утилиты Windows для проведения атак. Как отметила компания, URL, ответственный за загрузку Meterpreter — adobeupdates.sytes[.]net.
Microsoft отслеживала источник заражений на устройствах клиентов с помощью консоли , специальной функции Windows 10 для обнаружения и распознвания вредоносного ПО.
Представители компании пояснили:
Используя представления дерева процессов в консоли Windows Defender ATP, мы смогли отследить процесс, ответственный за вредоносные действия. Мы проследили эти действия в программе обновления. Экспертиза папки Temp на пораженной машине указала нам на законную стороннюю программу обновления, запущенную как сервис. Программа загрузила неподписанный исполняемый файл с низкой распространенностью прямо перед тем, как был обнаружен вирус.
— .
Что о ней известно?
Шпионская кампания, получившая название WilySupply, скорее всего, будет финансово мотивированной и нацеленной в основном на компании, работающие в сфере финансов и платежных систем.
В этом случае злоумышленники использовали средство обновления для доставки «неподписанного исполняемого файла с низкой распространенностью», а затем сканировали сеть жертвы и устанавливали удаленный доступ.
Атака на процесс обновления доверенного программного обеспечения является отличным средством для злоумышленников, поскольку пользователи полагаются на механизм получения реальных обновлений и исправлений.
Microsoft отмечает, что такой же метод был использован в ряде атак: например, в 2013 году несколько южнокорейских организаций через вредоносную версию установщика SimDisk.
В чём отличие WilySupply от других атак?
У злоумышленников есть дополнительное преимущество в виде доступа к бесплатным инструментам для ручного тестирования с открытым исходным кодом, таким как Evil Grade. Это помогает использовать ошибочные реализации обновлений для внедрения в них зловредных программ.
Microsoft отмечает:
Загруженный исполняемый файл оказался вредоносным бинарником, который запустил сценарии PowerShell, связанные с оболочкой , что предоставило злоумышленнику контроль над удаленным компьютером. Малварь распознана как .
Microsoft также отмечает некоторые черты продвинутых злоумышленников. Одной из черт является использование саморазрушающихся исходных двоичных файлов и данных, хранящихся только в оперативной памяти, во избежание обнаружения антивирусом.
В феврале компания Kaspersky Security о росте количества обнаруженных вредоносных программ в банках по всему миру, в которых злоумышленники используют Meterpreter и стандартные утилиты Windows для проведения атак. Как отметила компания, URL, ответственный за загрузку Meterpreter — adobeupdates.sytes[.]net.
Microsoft отслеживала источник заражений на устройствах клиентов с помощью консоли , специальной функции Windows 10 для обнаружения и распознвания вредоносного ПО.
Представители компании пояснили:
Используя представления дерева процессов в консоли Windows Defender ATP, мы смогли отследить процесс, ответственный за вредоносные действия. Мы проследили эти действия в программе обновления. Экспертиза папки Temp на пораженной машине указала нам на законную стороннюю программу обновления, запущенную как сервис. Программа загрузила неподписанный исполняемый файл с низкой распространенностью прямо перед тем, как был обнаружен вирус.
— .