IT 安全专家和恶意软件开发人员之间的斗争类似于一场速度竞赛,前者必须努力追上才能更好地阻止后者。
看来,他们现在的任务更加艰巨了。自今年年初以来,思科 Talos 安全实验室的研究人员检测到了新一代间谍软件,能够记录击键以窃取尽可能多的数据:标识符、密码、银行数据等。
混淆线条并使任务复杂化
这种新恶意软件的代表之一名为Rombertik,目前传播范围越来越广,并且似乎并不将其活动限制在某个经济部门或某个地理区域。它作为附件到达邮箱,实际上是一个脚本。一旦激活,就为时已晚。
最好避免打开它,因为尽管近年来该领域取得了进展,但安全专家很难克服它,因为 Rombertik 足够“聪明”,知道它正在被监视和分析。
因为Rombertik嵌入了一些工具和诡计来避免静态和动态分析工具的注意。特别是,它周围充满了不必要的代码,使分析变得更长、更痛苦。他也能逃脱沙箱,这些有限且安全的执行区域。为了使分析工具的任务变得复杂,它还产生大量的数据、日志。必须筛选超过 100 GB 的日志以确保它是恶意软件。“即使分析环境能够处理这种大小的日志,将其写入典型的硬盘也需要超过 25 分钟”,解释了 Cisco Talos 博客上的帖子。
这不仅使分析变得复杂,而且还避免使用某些工具。在恶意软件进行了多次检查以测量其安装环境的温度后,Rombertik 最终通过解压其可执行代码来安装自身。一个代码“这是可怕的,比反扫描代码复杂很多倍”Cisco Talos 专家指出,之前使用过。“结果是一场噩梦”关注寻求了解 Rombertik 的专家。
破坏力巨大
但事情还没有结束。然后,恶意软件将确保其代码未被更改。如果是这种情况,它将首先尝试覆盖主引导记录(MBR),这是硬盘驱动器中允许操作系统引导的部分。如果他失败了,他就会采取重大破坏性行动。它将使用随机生成的 RC4 密钥对用户目录中存在的所有文件进行加密,从而使其数据无法访问。“该恶意软件的有趣之处在于它没有一种恶意功能,而是多种”,几乎让研究人员兴奋不已,他们看到了此类恶意软件的光明前景。因为没有这种软件想法的攻击者会争先恐后地复制它,因为它是如此有效。一旦MBR被更改或文件被加密,计算机就会无限期地重新启动,无法启动操作系统……
另请阅读:
零日漏洞导致 iPhone 和 iPad 无限期崩溃– 22/04/2015
来源 :
思科 Talos 博客
威胁站
