Недосып в корпоративной сети: CoffeeLoader атакует Windows
Новое вредоносное ПО CoffeeLoader атакует Windows-устройства, обходя защиту антивирусов и внедряя опасные шпионские программы. Киберэксперт Михаил Спицын рассказал, что необходимо для обнаружения подобной активности.
Американские эксперты по кибербезопасности зафиксировали активность новой вредоносной загрузки — CoffeeLoader. Главная цель — пользователи Windows, чьи компьютеры могут быть заражены под видом фирменной утилиты Armoury Crate от ASUS. Внедрившись в систему, CoffeeLoader загружает вредоносное ПО, в том числе известный инфостилер Rhadamanthys.
Разработчики вредоносной программы использовали передовые методы, чтобы сделать её практически невидимой для антивирусных решений.
Одним из приёмов является использование собственной упаковки — Armoury Packer. Вредоносный код исполняется не через стандартный центральный процессор, а с помощью графического процессора. Это позволяет обойти типичную логику антивирусов, которые не отслеживают активность GPU.
Ещё один способ сокрытия — подделка стека вызовов. Обычно программы оставляют после себя последовательность функций, по которой можно отследить их действия. CoffeeLoader подменяет эту цепочку, чтобы выглядеть, как легитимное приложение, и не вызывать подозрений.
Также вредонос обладает техникой Sleep Obfuscation. Когда он не активен, его код зашифрован и хранится в оперативной памяти в недоступной для анализа форме. Это не позволяет средствам защиты обнаружить признаки заражения даже при глубоком сканировании.
«Механизмы распространения — это настоящая головная боль для злоумышленника. Найти способ запустить в сеть вредонос — решаемая задача, а вот чтобы создать скрытный механизм репликации, да ещё и такой, который сможет обходить современные системы защиты информации, необходимо постараться. В данном случае Coffee loader использует методы исполнения кода посредством графического процессора, подделки стека вызовов, хранение вредоносного кода в оперативной памяти, и это достаточно изощрённые функции. Для обнаружения подобной активности необходимо использовать модули поведенческой аналитики и системы детектирования подозрительных действий. В корпоративном центре мониторинга GSOC такие инструменты имеются в арсенале, благодаря им специалисты незамедлительно разрывают цепочки атак», — говорит киберэксперт, инженер-аналитик лаборатории стратегического развития компании «Газинформсервис» Михаил Спицын.
Ответственность за содержание материала несет автор публикации. Точка зрения автора может не совпадать с позицией редакции.