Tips and Insights: Tap Sender and Comm Broker on FireEye Network Security
สารบัญ:
[อ่านเพิ่มเติม: วิธีลบมัลแวร์จากคอมพิวเตอร์ที่ใช้ Windows ของคุณ]
การโจมตีแบบหลายขั้นตอน
การโจมตีทำงานในหลายขั้นตอน เอกสารที่เป็นอันตรายจะดาวน์โหลดและรันส่วนประกอบที่พยายามระบุว่าสภาพแวดล้อมการทำงานเป็นระบบเสมือนหรือไม่เช่น Sandbox แบบป้องกันไวรัสหรือระบบวิเคราะห์มัลแวร์อัตโนมัติโดยรอเพื่อดูว่ามีกิจกรรมเมาส์หรือไม่ก่อนที่จะเริ่มขั้นตอนโจมตีครั้งที่สอง
การตรวจสอบการคลิกเมาส์ไม่ใช่เทคนิคการหลีกเลี่ยงการตรวจจับแบบใหม่ แต่มัลแวร์ใช้ในการตรวจสอบก่อนหน้านี้สำหรับการคลิกเมาส์ครั้งเดียว Rong Hwa กล่าว BaneChant รอการคลิกเมาส์อย่างน้อยสามครั้งก่อนที่จะดำเนินการถอดรหัส URL และดาวน์โหลดโปรแกรมลับๆที่ปลอมตัวเป็นไฟล์ภาพ. jpg เขากล่าวว่ามัลแวร์ยังมีวิธีการหลีกเลี่ยงการตรวจจับอีกด้วย ตัวอย่างเช่นในขั้นตอนแรกของการโจมตีเอกสารที่เป็นอันตรายจะดาวน์โหลดส่วนประกอบของ dropper จาก URL ow.ly Ow.ly ไม่ใช่โดเมนที่เป็นอันตราย แต่เป็นบริการที่สั้นลง URL
เหตุผลที่ใช้บริการนี้คือการข้าม URL blacklisting บริการที่ใช้งานอยู่บนคอมพิวเตอร์ที่กำหนดเป้าหมายหรือเครือข่าย Rong Hwa กล่าวว่า (ดูเพิ่มเติม "ผู้ใช้ Spammer abuse.gov URL shortener service ในการหลอกลวงที่ทำงานที่บ้าน"
ในทำนองเดียวกันในระหว่างขั้นตอนที่สองของการโจมตีไฟล์. jpg ที่เป็นอันตรายจะถูกดาวน์โหลดจาก URL ที่สร้างขึ้นโดยใช้ No-IP dynamic บริการระบบชื่อโดเมน (DNS)
หลังจากโหลดองค์ประกอบแรกแล้วไฟล์. jpg จะลบสำเนาของตัวเองชื่อ GoogleUpdate.exe ในโฟลเดอร์ "C: ProgramData Google2 \" นอกจากนี้ยังสร้างลิงก์ ไปยังไฟล์ในโฟลเดอร์เริ่มต้นใช้งานของผู้ใช้เพื่อให้มั่นใจได้ว่าจะสามารถทำงานได้หลังจากที่รีสตาร์ทคอมพิวเตอร์ทุกครั้ง
นี่เป็นความพยายามที่จะหลอกล่อให้ผู้ใช้เชื่อว่าไฟล์ดังกล่าวเป็นส่วนหนึ่งของบริการอัปเดตของ Google ซึ่งเป็นโปรแกรมที่ถูกต้องตามกฎหมาย ภายใต้ "C: Program Files Google Update \" Rong Hwa กล่าวว่า
โปรแกรมลับๆรวบรวมและอัปโหลดข้อมูลระบบกลับไปยังเซิร์ฟเวอร์คำสั่งและควบคุมนอกจากนี้ยังสนับสนุนคำสั่งต่างๆเช่นหนึ่งเพื่อดาวน์โหลดและรัน ไฟล์เพิ่มเติมในคอมพิวเตอร์ที่ติดเชื้อ
เมื่อเทคโนโลยีป้องกันก้าวหน้าขึ้นมัลแวร์ volves, Rong Hwa กล่าวว่า ในกรณีนี้มัลแวร์ได้ใช้เทคนิคมากมายรวมถึงการหลีกเลี่ยงการวิเคราะห์ Sandbox ด้วยการตรวจจับพฤติกรรมของมนุษย์หลีกเลี่ยงการใช้เทคโนโลยีการสกัดไบนารีระดับเครือข่ายด้วยการเข้ารหัสไฟล์ที่ปฏิบัติการได้หลายรูปแบบการปลอมแปลงเป็นกระบวนการที่ถูกกฎหมายหลีกเลี่ยงการวิเคราะห์ทางนิติวิทยาศาสตร์ โค้ดที่เป็นอันตรายที่โหลดลงในหน่วยความจำโดยตรงและป้องกันไม่ให้โดเมนโดยอัตโนมัติขึ้นบัญชีดำโดยใช้การเปลี่ยนเส้นทางผ่านการทำให้ URL สั้นลงและบริการ DNS แบบไดนามิกเขากล่าว
Gearbox CEO เรียก Steam ว่า "Conflict of Interest" สำหรับ Valve
ผู้พัฒนา Borderlands ใช้ภาพที่บริการจัดส่งเนื้อหาอ้างว่าจะ เป็น "อันตรายมากสำหรับอุตสาหกรรมอื่น ๆ เพื่อให้ Valve สามารถชนะได้"
Google ได้ขยายฟังก์ชันการทำงานของโปรแกรมดูเอกสาร Google บน iPhone, iPad และอุปกรณ์เคลื่อนที่ Android รวมถึงความสามารถในการดูไฟล์ PDF * .doc, * .docx (รูปแบบไฟล์ Office 2007 และ Office 2010 ที่แทนที่ * .doc) และแม้แต่ Microsoft PowerPoint (แม้ว่าจะไม่มีการพูดถึงรูปแบบ * .pptx เวอร์ชันใหม่กว่าสำหรับ PowerPoint) โดยกำเนิดภายใน Google Docs Viewer ถึงแม้ว่า Google จะใช้วิธี "ดู แต่ไม่ได้สัมผัส" แต่ก็ยังขาดฟังก์ชันการทำงานในการสร้างหรือแก้ไขเอกสารแม้ใน Google เอกสาร
A โพสต์โดย Mickey Kataria ในบล็อก Google เอกสารเมื่อวานนี้ประกาศว่า Google กำลัง "ปล่อยโปรแกรมดูเอกสาร Google เอกสารสำหรับ Android สำหรับ iPhone และ iPad เพื่อให้คุณสามารถดูไฟล์ PDF, .ppt, .doc และ. docx ที่คุณได้อัปโหลดไป รายการเอกสารของคุณโดยไม่จำเป็นต้องดาวน์โหลดไฟล์ "
ซึ่งนำโดย Microsoft และ Nokia เรียก Android ว่า "Trojan Horse" ยื่นเรื่องร้องเรียนจากสหภาพยุโรป
รัฐบาล FairSearch ซึ่งมีสมาชิกรวมถึง Microsoft, Nokia และ Oracle ได้ยื่นคำร้องเรียนต่อคณะกรรมาธิการยุโรปเกี่ยวกับ Google และ Android โดยบอกว่า บริษัท กำลังใช้ OS เป็นม้าโทรจันในการหลอกลวงคู่ค้าและผูกขาดตลาดโทรศัพท์มือถือ