Zyklon malware

CH azonosító

CH-14350

Angol cím

Zyklon Malware

Felfedezés dátuma

2018.01.16.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A Fireeye biztonsági cég egy friss tanulmánya a már ismert Zyklon káros szoftver új verziójára hívja fel a figyelmet.

Leírás

A Zyklon backdoor rengeteg képességgel bír: keylogger, jelszó tolvaj, a saját alapképességeit kiterjesztő plugin-okat tölt le és futtat (pl. kriptovaluta bányászat) a fertőzött gépen, DDoS támadásokban vehet részt, frissíteni, de akár törölni is képes magát. A felsorolt képességeket a saját command&control (C2) szerverei segítségével, a botnet gazdája tudja vezérelni. A kommunikációt a Tor hálózat biztosítja.

A legújabb verzió elsősorban spam email-ek segítségével terjed, amely jellemzően egy “zip” állományba tömörített Microsoft Office “doc” fájlt tartalmaz. A dokumentum kicsomagolása után az Office programcsomag 3 ismert sérülékenységét kihasználva egy PowerShell script letölti a valódi kártevő programot a C2 szerverekről, majd lefuttatja azt.

  • A “doc” fájl egy beágyazott OLE objektumot tartalmaz, amely végrehajtáskor elindítja egy újabb “doc” állomány letöltését az objektumban tárolt URL címről.
  • Hasonló technikát használ egy másik ismert sérülékenységet kihasználó módszer.
  • A harmadik módszer a Dynamic Data Exchange (DDE) interprocessz kommunikációját használja ki arra, hogy egy PowerShell script segítségével letöltse a payload-ot.

Mindhárom módszer arra jó, hogy letöltődjön a gépre egy Base64 kódolású PowerShell script (2. fázis), ami végezetül leszedi a szerverről a végleges payload-ot, amely egy PE formátumú .NET keretrendszerrel készített futtatható állomány.

Fertőzöttségre utaló jelek

Az alábbi fájlok megléte:

  • 76011037410d031aa41e5d381909f9ce     accounts.doc
  • 4bae7fb819761a7ac8326baf8d8eb6ab    Courier.doc   
  • eb5fa454ab42c8aec443ba8b8c97339b    doc.doc
  • 886a4da306e019aa0ad3a03524b02a1c    Pause.ps1
  • 04077ecbdc412d6d87fc21e4b3a4d088    words.exe

Kommunikáció az alábbi szerverek/IP címek felé:

  •     154.16.93.182
  •     85.214.136.179
  •     178.254.21.218
  •     159.203.42.107
  •     217.12.223.216
  •     138.201.143.186
  •     216.244.85.211
  •     51.15.78.0
  •     213.251.226.175
  •     93.95.100.202
  •     warnono.punkdns.top

Megoldás

A naprakészen tartott víruskereső alkalmazások képesek eltávolítani a káros szoftvert a fertőzött számítógépről, illetve létfontosságú, hogy a telepített alkalmazásokhoz és az operációs rendszerhez telepítsük a gyártó által kiadott biztonsági frissítéseket.


Legfrissebb sérülékenységek
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
CVE-2024-42327 – Zabbix SQLi sérülékenysége
Tovább a sérülékenységekhez »