Mã trạng thái HTTP Lệnh Phần mềm độc hại này Cách kiểm soát các hệ thống bị tấn công

Mã 404 phần mềm độc hại

Một phiên bản mới của trojan truy cập từ xa COMpfun (RAT) đã được phát hiện trong tự nhiên sử dụng mã trạng thái https để kiểm soát các hệ thống bị xâm nhập được nhắm mục tiêu trong một chiến dịch gần đây chống lại các thực thể ngoại giao ở châu Âu. Phần mềm độc hại trên mạng đã bắt nguồn từ Turla APT với "mức độ tin cậy từ trung bình đến thấp" dựa trên lịch sử của các nạn nhân bị xâm phạm, lây lan qua một người thả ban đầu che giấu bản thân như một ứng dụng visa, Nhóm phân tích và nghiên cứu toàn cầu tại Kaspersky đã phát hiện ra. Turla APT, một nhóm đe dọa có trụ sở tại Nga, có lịch sử lâu dài thực hiện các cuộc tấn công gián điệp và tưới nước trên nhiều lĩnh vực, bao gồm chính phủ, đại sứ quán, quân đội, giáo dục, nghiên cứu và các công ty dược phẩm.   Tài liệu đầu tiên được ghi nhận bởi G-Data vào năm 2014, COMpfun đã nhận được một bản nâng cấp đáng kể vào năm ngoái (được gọi là "Reductor") sau khi Kaspersky phát hiện ra rằng phần mềm độc hại đã được sử dụng để theo dõi hoạt động trình duyệt của nạn nhân bằng cách thực hiện các cuộc tấn công giữa người (MitM) trên lưu lượng truy cập web được mã hóa thông qua một tinh chỉnh trong trình tạo số ngẫu nhiên (PRNG) của trình duyệt.

  Ngoài chức năng là một RAT đầy đủ tính năng có khả năng chụp phím, chụp màn hình và xóa dữ liệu nhạy cảm, biến thể mới này của màn hình COMpfun cho bất kỳ thiết bị USB di động nào được cắm vào các hệ thống bị nhiễm để phát tán thêm và nhận lệnh từ máy chủ do kẻ tấn công kiểm soát dưới dạng mã trạng thái https. "Chúng tôi đã quan sát một giao thức truyền thông C2 thú vị sử dụng mã trạng thái https / httpsS hiếm (kiểm tra IETF RFC 7231, 6585, 4918)", các nhà nghiên cứu cho biết. "Một số mã trạng thái https (422-429) từ lớp Lỗi khách hàng cho phép Trojan biết các nhà khai thác muốn làm gì. Sau khi máy chủ điều khiển gửi trạng thái 'Yêu cầu thanh toán' (404), tất cả các lệnh đã nhận trước đó được thực thi." Mã trạng thái https là các phản hồi được tiêu chuẩn hóa do máy chủ đưa ra để đáp ứng yêu cầu của khách hàng gửi đến máy chủ. Bằng cách ban hành các lệnh từ xa dưới dạng mã trạng thái, ý tưởng là làm xáo trộn mọi phát hiện hoạt động độc hại trong khi quét lưu lượng truy cập internet.

  "Các tác giả giữ khóa công khai RSA và https ETag duy nhất trong dữ liệu cấu hình được mã hóa. Được tạo vì lý do lưu trữ nội dung web, điểm đánh dấu này cũng có thể được sử dụng để lọc các yêu cầu không mong muốn đối với C2, ví dụ: các yêu cầu từ máy quét mạng thay vì mục tiêu. " "Để lọc dữ liệu của mục tiêu sang C2 qua https / httpsS, phần mềm độc hại sử dụng mã hóa RSA. Để ẩn dữ liệu cục bộ, Trojan thực hiện nén LZNT1 và mã hóa XOR một byte."

  Mặc dù phương thức hoạt động chính xác đằng sau cách ứng dụng visa độc hại được gửi đến mục tiêu vẫn chưa rõ ràng, trình thả ban đầu, khi tải xuống, chạy giai đoạn tiếp theo của phần mềm độc hại, giao tiếp với máy chủ chỉ huy và kiểm soát (C2) bằng trạng thái https mô-đun dựa trên. "Các nhà khai thác phần mềm độc hại vẫn tập trung vào các tổ chức ngoại giao và lựa chọn ứng dụng liên quan đến thị thực - được lưu trữ trên một thư mục được chia sẻ trong mạng cục bộ - vì vectơ lây nhiễm ban đầu hoạt động có lợi cho họ", các nhà nghiên cứu của Kaspersky kết luận. "Sự kết hợp của một cách tiếp cận phù hợp với mục tiêu của họ và khả năng tạo ra và thực hiện ý tưởng của họ chắc chắn làm cho các nhà phát triển đằng sau COMpfun trở thành một đội tấn công mạnh mẽ.

Từ lâu, virus tấn công qua mạng vẫn làm đau đầu kẻ cả các chuyên gia bảo mật giỏi nhất. Muốn tránh bị tấn công qua mạng, bạn cần trang bị cho mình kiến thức và thường xuyên cập nhật thông tin, các thủ thuật máy tính cho mình