Мультипортал. Всё о Чеченской Республике.

«Лаборатория Касперского» впервые обнаружила случаи хранения вредоносного кода в журналах событий Windows


Просмотров: 566Комментариев: 0
ДАЙДЖЕСТ:
«Лаборатория Касперского» впервые обнаружила случаи хранения вредоносного кода в журналах событий Windows
Эксперты «Лаборатории Касперского» обнаружили необычную вредоносную кампанию. В ней для хранения вредоносного ПО используются журналы событий Windows. Более того, атакующие применяют широкий спектр техник, включая SilentBreak и CobaltStrike, легальные инструменты для тестирования на проникновение. Также в цепочку заражения входит целый набор вспомогательных модулей, написанных в том числе на языке Go. Они используются, чтобы затруднить обнаружение троянцев последней ступени.

Компания сообщает, что ранее эксперты не видели технику скрытия вредоносного кода внутри журналов событий Windows. За первичное заражение системы отвечает модуль из архива, скачиваемого жертвой. Некоторые файлы для повышения доверия к ним подписаны цифровым сертификатом. Заканчивается эта цепочка сразу несколькими троянцами для удалённого управления заражёнными устройствами. Они отличаются и способом передачи команд (HTTP или именованные каналы), и даже их набором. У некоторых версий троянцев таких команд десятки.

«Помимо использования сразу двух коммерческих инструментов и большого количества модулей нас очень заинтересовал факт хранения зашифрованного шелл-кода в журнале событий Windows. Такую технику скрытия присутствия зловреда в системе можно было бы добавить в матрицу MITRE», — комментирует Денис Легезо, ведущий эксперт по кибербезопасности «Лаборатории Касперского».

Для защиты от бесфайлового ПО и схожих угроз компания рекомендует установить эффективное защитное решение, в котором есть компонент, позволяющий детектировать аномалии в поведении файлов и выявлять бесфайловое вредоносное ПО; использовать EDR-решение и продукт для борьбы со сложными целевыми атаками, а также обеспечить сотрудникам центра мониторинга (SOC) доступ к самой свежей аналитике и регулярно повышать их квалификацию с помощью профессиональных тренингов; применять решения для защиты конечных устройств и специализированные сервисы, которые помогут защититься от наиболее продвинутых атак, позволяют распознать и остановить атаку на ранних стадиях, до того как злоумышленники достигнут своих целей.


checheninfo.ru



Добавить комментарий

НОВОСТИ. BEST:

ЧТО ЧИТАЮТ:

Время в Грозном

   

Горячие новости

Это интересно

Календарь новостей

«    Март 2024    »
ПнВтСрЧтПтСбВс
 123
45678910
11121314151617
18192021222324
25262728293031

Здесь могла быть Ваша реклама


Вечные ссылки от ProNewws

checheninfo.ru      checheninfo.ru

checheninfo.ru

Смотреть все новости


Добрро пожаловать в ЧР

МЫ В СЕТЯХ:

Я.Дзен

Наши партнеры

gordaloy  Абрек

Онлайн вещание "Грозный" - "Вайнах"