Latrodectus yra universali kenkėjiškų programų šeima, kuri taiko pažangią taktiką, kad įsiskverbtų į sistemas, pavogtų neskelbtinus duomenis ir išvengtų aptikimo. Ši kenkėjiška programa, pavadinta juodųjų našlių vorų genties „Latrodectus“ vardu, elgiasi panašiai slaptai ir agresyviai.
Jis skirtas įvairioms sistemoms, įskaitant įmonių tinklus, finansų įstaigas ir individualius vartotojus. Jo gebėjimas keistis ir prisitaikyti kelia susirūpinimą kibernetinio saugumo profesionalams visame pasaulyje.
Nuo 2023 m. pabaigos Latrodectus buvo pastebėtas daugelyje kenkėjiškų kampanijų, dažnai siejamų su grėsmės veikėjais TA577 ir TA578, kurie anksčiau platino IcedID kenkėjiškas programas.
Iš pradžių pastebėta sukčiavimo kampanijose, Latrodectus tapo IcedID įpėdiniu, dalijasi panašia pradinės prieigos ir duomenų vagystės taktika. Kenkėjiška programa buvo įdiegta įvairiose kampanijose, skirtose įmonių tinklams ir finansų įstaigoms, siekiant atlikti duomenų išfiltravimo ir išpirkos reikalaujančių programų operacijas.
Šiame straipsnyje mes išnagrinėsime Latrodectus kenkėjiškų programų pobūdį, kaip ji veikia ir, svarbiausia, kaip organizacijos gali nuo jos apsiginti.
Latrodectus kenkėjiškų programų analizė
Jos struktūros analizė atskleidžia modulinę kenkėjišką programą, sukurtą taip, kad maksimaliai padidintų trikdžius ir vagystes, išlaikant patvarumą. Toliau nagrinėjame pagrindinius Latrodectus elgsenos būdus, pagrįstus faktine jos taktikos ir metodų analize.
- Pradinė prieiga naudojant be failų metodus: Latrodectus dažnai gauna sukčiavimo el. laiškus su kenkėjiškais priedais ar nuorodomis. Vykdydama kenkėjišką programą, kenkėjiškus scenarijus įterpiama tiesiai į atmintį, apeinant tradicinius failais pagrįstus saugos sprendimus.
- Dinaminė API skiriamoji geba: Kenkėjiška programa dinamiškai išsprendžia Windows API funkcijas sumaišydama funkcijų pavadinimus, pvz., kernel32.dll ir ntdll.dll, o tai techniką, kuri apsunkina atvirkštinę inžineriją ir statinį aptikimą. Latrodectus užmaskuoja šiuos importus ir tada naudoja CRC32 kontrolines sumas vykdymo metu, kad išspręstų juos iš proceso aplinkos bloko (PEB). Tai apima pagrindinius modulius, tokius kaip kernel32.dll ir ntdll.dll, ir išplečia kitus modulius, tokius kaip user32.dll ir wininet.dll, kurie išsprendžiami naudojant pakaitos simbolių paieškas sistemos kataloge.
- Kodo užmaskavimas ir pakavimas: Latrodectus naudoja pakavimo metodus, kad suspaustų naudingąją apkrovą į mažesnius komponentus. Jis užšifruoja eilutes ir paslepia pagrindines funkcijas, sumažindamas tikimybę, kad statinė analizė atskleis jos kenkėjišką pobūdį. Naujausiuose pavyzdžiuose naudojama supaprastinta eilučių iššifravimo tvarka, pereinant nuo sudėtingo pseudoatsitiktinių skaičių generatoriaus (PRNG) prie efektyvesnės XOR pagrįstos rutinos.
- Patvarumo mechanizmai: Po užsikrėtimo „Latrodectus“ pasikartoja į paslėptą sistemos vietą, dažniausiai *%AppData%*, ir užtikrina pastovumą kurdama suplanuotas užduotis, pvz., C:\Windows\System32\Tasks\system_update, kad būtų paleistas po perkrovimo.
- Aplinkos vengimas: Prieš įkeldama naudingąją apkrovą, Latrodectus patikrina, ar nėra virtualizacijos aplinkų, išnagrinėjusi kelis sistemos atributus. Jis įvertina aktyvių procesų skaičių įrenginyje, reikalaujant, kad „Windows 10“ sistemose būtų bent 75 procesai, kad būtų išvengta žymėjimo kaip vykdomų smėlio dėžėje. Be to, ji tikrina aparatūros atributus, tokius kaip MAC adresai, kad aptiktų virtualias mašinas. Tiksliau, ji iškviečia GetAdaptersInfo() iš iphlpapi.dll, kad patikrintų, ar sistema turi galiojantį MAC adresą. Jei nerandamas tinkamas MAC adresas arba sistema neatitinka numatytos aparatinės įrangos sąrankos, kenkėjiška programa bus nutraukta, kad būtų išvengta aptikimo.
- Mutex naudojimas: Kenkėjiška programa sukuria mutex, pavadintą „runnung“, kuris leidžia patikrinti, ar ji jau veikia užkrėstoje sistemoje. Jei šis mutex yra, kenkėjiška programa sustabdo tolesnį vykdymą, kad išvengtų infekcijos pasikartojimo.
- Komandų ir valdymo (C2) ryšys: Latrodectus užmezga saugų ryšį su savo C2 serveriais per šifruotą HTTPS. Ji siunčia pradinę POST užklausą su išsamia sistemos informacija, tokia kaip operacinė sistema, architektūra ir unikalus roboto ID. Boto ID gaunamas iš užkrėsto įrenginio serijos numerio, naudojant maišos algoritmą, užtikrinantį, kad kiekvienas užkrėstas galutinis taškas turėtų atskirą identifikatorių. Latrodectus taip pat periodiškai atnaujina savo C2 infrastruktūrą, sukasi domenus, kad būtų išvengta aptikimo. Šie domenai paprastai yra užšifruoti ir iššifruojami tik vykdymo metu, todėl tinklo aptikimo sistemoms sunkiau sekti arba blokuoti C2 ryšį.
- Tada kenkėjiška programa laukia tolesnių instrukcijų, įskaitant papildomų naudingų krovinių atsisiuntimą arba duomenų išfiltravimą.
Šaltinis: Wazuh
Kenkėjiškos Latrodectus programos poveikis
Modulinis „Latrodectus“ kenkėjiškos programos dizainas leidžia pritaikyti savo galimybes, atsižvelgiant į užpuoliko tikslus ir sistemą, kurią jis sugadino. Šios galimybės apima selektyvų duomenų vagystę, kai kenkėjiška programa nukreipia į konkrečius duomenų tipus, kad išfiltruotų, kartu su sistemos žvalgyba ir kartais išpirkos reikalaujančiomis funkcijomis.
- Atrankinė duomenų vagystė: Kenkėjiška programa nuskaito tam tikrų tipų duomenis, pvz., žiniatinklio naršyklėse saugomus kredencialus, slaptus asmens identifikavimo failus ir įmonės dokumentus. Jis sumažina perduodamus duomenis, kad būtų išvengta aptikimo, ir išfiltruoja tik tai, kas yra vertinga.
- Modulinis išplėtimas: Pradinė Latrodectus naudingoji apkrova veikia kaip atsisiuntimo priemonė, kurią C2 serveris gali nurodyti patraukti papildomus modulius. Šie moduliai gali atlikti įvairias funkcijas, įskaitant klavišų registravimą, tinklo nuskaitymą ir tolesnį duomenų išfiltravimą. Dėl šios modulinės konstrukcijos kenkėjiška programa yra labai lanksti, todėl ji gali vystytis atsižvelgiant į besikeičiančius užpuoliko tikslus.
Kaip apsiginti nuo Latrodectus kenkėjiškų programų
Latrodectus infekcijų prevencijai reikalingas daugiasluoksnis požiūris, apimantis aktyvią apsaugą, sąmoningumą ir reguliarų apsaugos sistemų atnaujinimą. Žemiau yra keletas pagrindinių gynybos strategijų:
- Sužinojimas apie sukčiavimą ir mokymas: Latrodectus dažnai įsiskverbia per sukčiavimo el. laiškus, todėl labai svarbu mokyti darbuotojus pastebėti šias grėsmes ir jų išvengti. Reguliarus sukčiavimo modeliavimas padeda išlaikyti budrumą prieš įtartinus el. laiškus ir sumažina socialinės inžinerijos atakų riziką.
- Stiprinti galinio taško saugumą: Norint anksti aptikti, būtina naudoti atnaujintus antivirusinius ir apsaugos nuo kenkėjiškų programų įrankius. Pažangūs sprendimai, stebintys galutinio taško elgseną dėl anomalijų, gali nustatyti tokias grėsmes kaip Latrodectus prieš joms išplitus.
- Įdiekite tinklo segmentavimą: Tinklų segmentavimas riboja kenkėjiškų programų judėjimą organizacijoje. Svarbių sistemų atskyrimas nuo platesnės prieigos sumažina neteisėtos prieigos riziką ir padeda išvengti galimų pažeidimų.
- Atlikite reguliarias atsargines kopijas: Naudojant Latrodectus failų šifravimo taktiką, svarbios saugios ir reguliarios atsarginės kopijos. Atsarginių kopijų saugojimas izoliuotoje aplinkoje užtikrina, kad duomenis galima atkurti nemokant išpirkų.
- Sukurkite tvirtą pataisų valdymo strategiją: Reguliarus programinės įrangos atnaujinimas pašalina spragas, kurias gali išnaudoti kenkėjiškos programos, tokios kaip Latrodectus. Drausmingas pataisų valdymo procesas užtikrina greitą saugumo spragų šalinimą.
Kaip Wazuh gali aptikti Latrodectus kenkėjišką programą ir apsisaugoti nuo jos
„Wazuh“ suteikia sprendimą, kaip aptikti kenkėjiškas programas, pvz., „Latrodectus“, ir į jas reaguoti.
Stebėdamas realiuoju laiku, aptikdamas grėsmes ir analizuodamas žurnalus, „Wazuh“ gali nustatyti įtartiną veiklą, rodančią, kad yra Latrodectus kenkėjiškų programų, pvz., neįprastas failų modifikacijas, užšifruotus duomenis ar neteisėtos prieigos bandymus.
Šaltinis: Wazuh
Perskaitykite šį išsamų tinklaraščio įrašą apie Latrodectus kenkėjiškų programų aptikimą, kad sužinotumėte, kaip Wazuh gali apsiginti nuo jos.
Rėmė ir parašė Wazuh.
