Злонамерените атаки еволюират и поредното доказателство за това е засечената от изследователи по сигурността кампания, която използва Windows Еvent Logs за съхраняване на зловреден софтуер. До този момент тази техника не е била регистрирана, като критичното в случая е, че по този начин може да бъде внедрен зловреден софтуер безфайлово, а модулите са предназначени да поддържат дейността възможно най-невидима. Изследователи от Kaspersky събраха извадка от злонамерения софтуер посредством специална разработка, оборудвана с технология за откриване на аномалии. Разследването разкрива, че зловредният софтуер е част от „много насочена“ кампания и разчита на голям набор от инструменти, част от които са персонализирани, но сред тях има и такива, налични в търговската мрежа.
Една от най-интересните части на атаката е вписването на shellcode в Windows Еvent Logs за Key Management Services (KMS) - действие, завършено от персонализиран злонамерен софтуер. Това действие копира легитимния файл за обработка на грешки в операционната система WerFault.exe в C:\Windows\Tasks и след това се пуска криптиран двоичен ресурс в wer.dll (Windows Error Reporting) на същото място, като по този начин се нарежда на DLL да зареди зловредния код. Специалистите от Kaspersky признават, че целият процес изглежда впечатляващо и очакват случаи като този да зачестят. Към момента този метод се идентифицира с името SilentBreak, а от BleepingComputer смятат, че целта му очаквано е достъп до важни данни.
Да се надяваме, че скоро специалистите ще успеят да се справят с него с лекота.
Снимки: Shutterstock
Виж още: Китайските власти заменят Windows с местен вариант на Linux