KZ-CERT сообщает о выявлении вредоноса, который является документом Word — он обходит средства защиты типа «песочницы».
В Службу реагирования на компьютерные инциденты KZ-CERT поступило обращение о ежедневно повторяющейся рассылке, которая содержит вложение в виде файла Word под названием 945kaz. Проведенный анализ содержимого файла дал повод классифицировать данный инцидент как «Вредоносная активность».
Как пояснили в ведомстве, распространение вирусов в документе Word не является уникальным случаем, и подобные инциденты ИБ уже известны. Однако в случае с указанным файлом уникальность заключается в том, что вирус активируется только после третьей перезагрузки компьютера, что усложняет детектирование антивирусными программами и «песочницами», а также расследование инцидентов. Проще говоря, после открытия документа Word и активации исполнения макросов вирус готовит платформу для основного вредоносного ПО. Причем, делается это таким образом, чтобы максимально затруднить выявление основного функционала. До третьей перезагрузки компьютера (с момента активации макросов в документе) исполнения реального вредоносного функционала не происходит.
«Такое большое количество перезагрузок используется злоумышленниками с учетом того, что обычно автоматизированные среды анализа (песочницы) не могут проанализировать активность, происходящую после перезагрузки компьютера в ее связи с действиями, произведенными до этой перезагрузки. Для усложнения анализа на одном из этапов (первая перезагрузка) злоумышленники используют интересный и эффективный ход: создание определенного каталога в качестве признака успешной перезагрузки. Поскольку данную активность трудно отнести к вредоносной, достаточно мала вероятность успешного обнаружения вредоносного функционала в ходе такого анализа», — рассказали в KZ-CERT.
Основной функционал данного вредоносного объекта заключается в загрузке и исполнении произвольного кода (базонезависимого, а не стандартного исполняемого файла) с сервера злоумышленников. Также, благодаря приемам противодействия исследованию, злоумышленникам удается скрыть от автоматического анализа сервер, с которого происходит загрузка реального кода. С учетом такого функционала инцидент классифицируется как достаточно опасный, поскольку подобная схема позволяет исполнить любой код, обеспечивая при этом возможности для его оперативного изменения.
KZ-CERT настоятельно рекомендует пользователям обновить антивирусное программное обеспечение, а также включить автоматическую проверку файлов на наличие угроз.
Индикаторы заражения:
- 116.193.153.20 — IP-адрес сервера, с которого скачивается объект-загрузчик исполняемого кода в памяти;
- brands.newst.dnsabr.com — сервер, с которого осуществляется загрузка основного вредоносного (базонезависимого) кода.
Источник profit.kz