Zyklon malware


2018. január 19. 07:00

CH azonosító

CH-14350

Angol cím

Zyklon Malware

Felfedezés dátuma

2018.01.16.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A Fireeye biztonsági cég egy friss tanulmánya a már ismert Zyklon káros szoftver új verziójára hívja fel a figyelmet.

Leírás

A Zyklon backdoor rengeteg képességgel bír: keylogger, jelszó tolvaj, a saját alapképességeit kiterjesztő plugin-okat tölt le és futtat (pl. kriptovaluta bányászat) a fertőzött gépen, DDoS támadásokban vehet részt, frissíteni, de akár törölni is képes magát. A felsorolt képességeket a saját command&control (C2) szerverei segítségével, a botnet gazdája tudja vezérelni. A kommunikációt a Tor hálózat biztosítja.

A legújabb verzió elsősorban spam email-ek segítségével terjed, amely jellemzően egy “zip” állományba tömörített Microsoft Office “doc” fájlt tartalmaz. A dokumentum kicsomagolása után az Office programcsomag 3 ismert sérülékenységét kihasználva egy PowerShell script letölti a valódi kártevő programot a C2 szerverekről, majd lefuttatja azt.

  • A “doc” fájl egy beágyazott OLE objektumot tartalmaz, amely végrehajtáskor elindítja egy újabb “doc” állomány letöltését az objektumban tárolt URL címről.
  • Hasonló technikát használ egy másik ismert sérülékenységet kihasználó módszer.
  • A harmadik módszer a Dynamic Data Exchange (DDE) interprocessz kommunikációját használja ki arra, hogy egy PowerShell script segítségével letöltse a payload-ot.

Mindhárom módszer arra jó, hogy letöltődjön a gépre egy Base64 kódolású PowerShell script (2. fázis), ami végezetül leszedi a szerverről a végleges payload-ot, amely egy PE formátumú .NET keretrendszerrel készített futtatható állomány.

Fertőzöttségre utaló jelek

Az alábbi fájlok megléte:

  • 76011037410d031aa41e5d381909f9ce     accounts.doc
  • 4bae7fb819761a7ac8326baf8d8eb6ab    Courier.doc   
  • eb5fa454ab42c8aec443ba8b8c97339b    doc.doc
  • 886a4da306e019aa0ad3a03524b02a1c    Pause.ps1
  • 04077ecbdc412d6d87fc21e4b3a4d088    words.exe

Kommunikáció az alábbi szerverek/IP címek felé:

  •     154.16.93.182
  •     85.214.136.179
  •     178.254.21.218
  •     159.203.42.107
  •     217.12.223.216
  •     138.201.143.186
  •     216.244.85.211
  •     51.15.78.0
  •     213.251.226.175
  •     93.95.100.202
  •     warnono.punkdns.top

Megoldás

A naprakészen tartott víruskereső alkalmazások képesek eltávolítani a káros szoftvert a fertőzött számítógépről, illetve létfontosságú, hogy a telepített alkalmazásokhoz és az operációs rendszerhez telepítsük a gyártó által kiadott biztonsági frissítéseket.

Támadás típusa

Input manipulation (Bemenet módosítás)

Hatás

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: thehackernews.com
Egyéb referencia: www.fireeye.com
CVE-2017-8759 - NVD CVE-2017-8759
CVE-2017-11882 - NVD CVE-2017-11882

Legfrissebb sérülékenységek
CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége
CVE-2021-41277 – Metabase GeoJSON API Local File Inclusion Sebezhetőség
CVE-2024-9465 – Palo Alto Networks Expedition SQL Injection sérülékenysége
CVE-2024-9463 – Palo Alto Networks Expedition OS Command Injection sérülékenység
CVE-2024-10914 – D-Link DNS-320, DNS-320LW, DNS-325, DNS-340L NAS termékek sérülékenysége
CVE-2024-49019 – Active Directory Certificate Services jogosultsági szint emelését lehetővé tévő sérülékenysége
CVE-2024-49040 – Microsoft Exchange Server Spoofing sebezhetősége
CVE-2024-43451 – NTLM Hash Sebezhetőség
CVE-2024-49039 – Windows Task Scheduler jogosultsági szint emelésre kihasználható sérülékenysége
CVE-2024-20418 – Cisco Unified Industrial Wireless Software for Cisco Ultra-Reliable Wireless Backhaul (URWB) Access Pointok sérülékenysége
Tovább a sérülékenységekhez »