„კასპერსკის ლაბორატორიამ“ პირველად აღმოაჩინა Windows-ის მოვლენის ჟურნალებში შენახული მავნე კოდი

838 წაკითხვა

„კასპერსკის ლაბორატორიის“ ექსპერტებმა აღმოაჩინეს უჩვეულო მავნე პროგრამა, რომელიც  მავნე პროგრამების შესანახად იყენებს Windows-ის მოვლენის ჟურნალებს. უფრო მეტიც, თავდამსხმელები სარგებლობენ  ტექნიკის ფართო სპექტრით, მათ შორის ლეგალური შეღწევადობის ტესტირების SilentBreak და CobaltStrike ინსტრუმენტებით.  ინფიცირების  ჯაჭვი ასევე მოიცავს დამხმარე მოდულების მთელ კომპლექტს, მათ შორის Go ენაზე დაწერილი მოდულებსაც. ისინი გამოიყენება იმისათვის, რომ შექმნან სირთულეები ბოლო დონის ტროიანების აღმოჩენისას.

როგორც „კასპერსკის ლაბორატორია“ გვაცნობებს, ადრე ექსპერტებისათვის ცნობილი არ ყოფილა Windows-ის მოვლენის ჟურნალებში მავნე კოდის დამალვის ტექნიკა.  სისტემის პირველადი დაინფიცირების  პასუხისმგებელია  მსხვერპლის მიერ გადმოტვირთული მოდული არქივიდან.  ზოგიერთი ფაილი ხელმოწერილია ციფრული სერთიფიკატით რატა უფრო ადვილად ვენდოთ მათ. ეს ჯაჭვი მთავრდება ინფიცირებული მოწყობილობების დისტანციური მართვისთვის განკუთვნილი რამდენიმე ტროიანებით. ისინი განსხვავდებიან ბრძანებების გადაცემის ხერხით (HTTP ან ზემოთნახსენები არხები) და მათი ნაკრებითაც კი. ტროას ზოგიერთ ვერსიას აქვს ათობით ასეთი ბრძანება.

„ორი კომერციული ხელსაწყოს და მოდულების დიდი რაოდენობით ერთდროულად   გამოყენების გარდა, ჩვენ ძალიან გვაინტერესებდა ის ფაქტი, რომ დაშიფრული shellcode ინახება Windows-ის ღონისძიებების ჟურნალში. სისტემაში მავნე პროგრამების არსებობის დამალვის ასეთი ტექნიკა შეიძლება დაემატოს MITER მატრიცას“, – წერს „კასპერსკის ლაბორატორიის“ კიბერუსაფრთხოების წამყვანი ექსპერტი დენის ლეგეზო.

უფაილო  პროგრამული უზრუნველყოფისა და მსგავსი საფრთხეებისგან თავის დასაცავად, კომპანია გირჩევთ დააინსტალიროთ უსაფრთხოების ეფექტური გადაწყვეტილება, რომელსაც აქვს ფაილის ქცევაში ანომალიების აღმომჩენი  კომპონენტი და შეუძლია მავნე პროგრამის გამომჟღავნება; გამოიყენოთ EDR გადაწყვეტა და  რთული მიზანმიმართული შეტევების წინააღმდეგ მებრძოლი პროდუქტი, გარდა ამისა უნდა უზრუნველყოთ მონიტორინგის ცენტრის  თანამშრომლების  (SOC) წვდომა უახლეს ანალიტიკაზე და რეგულარულად გააუმჯობესოთ  მათი პროფესიული მომზადების დონე ტრენინგების მეშვეობით;  გამოიყენოთ ბოლო წერტილების დაცვის გადაწყვეტილებები და სპეციალიზებული სერვისები, რომლებიც აგარიდებთ  ყველაზე პროგრესულ თავდასხმებს, საშუალებას მოგცემთ ამოიცნოთ და შეაჩეროთ თავდასხმა ადრეულ ეტაპზე, მანამდე სანამ თავდამსხმელები   შესძლებენ თავიანთი მიზნების კიღწევას.

Windows-ის მოვლენების ჟურნალის გამოყენებით მავნე ქმედებების შესახებ უფრო დაწვრილებით შეგიძლიათ გაეცნოთ ბმულზე: https://securelist.com/a-new-secret-stash-for-fileless-malware/106393/.

Next Post

„გრიგორი კარასინმა თქვა, რომ „რეფერენდუმთან“ დაკავშირებით მოსკოვი არანაირ აქტივობაში ჩართული არ არის“ - ზურაბ აბაშიძე

ხუთ მაი 19 , 2022
838 წაკითხვაპრემიერ – მინისტრის სპეციალური წარმომადგენლის რუსეთთან ურთიერთობის საკითხებში ზურაბ აბაშიძის განცხადებით, გრიგორი კარასინმა ცხინვალის რეგიონში დაგეგმილ ე.წ. რეფერენდუმთან დაკავშირებით აღნიშნა, რომ მოსკოვში საქმის კურსში არიან საქართველოს უარყოფითი დამოკიდებულების შესახებ და მათი მხრიდან ეს უყურადღებოდ არ რჩება. ამის შესახებ ზურაბ აბაშიძემ „ინტერპრესნიუსს“ განუცხადა, როდესაც გამოეხმაურა რუსეთის ფედერაციის საბჭოს საერთაშორისო საკითხთა კომიტეტის ხელმძღვანელის, გრიგორი კარასინის განცხადებას ე.წ. რეფერენდუმთან დაკავშირებით. ამასთან, როგორც მან განმარტა, ამ საკითხზე რუს […]