Ведущий научный сотрудник ESET Дэвид Харли сообщил, что за то время, пока он
и его сотрудники наблюдали за TDL4, они отметили переход бот-сети на новый этап
эволюции.

Эти изменения, отметил он, могут быть сигналом того, что либо команда,
разрабатывающая вредоносную программу сменилась, либо что разработчики начали
сдавать в аренду буткит-билдер другим группам киберпреступников.

Дроппер ботнета, утверждает он, отсылает массу информации для выслеживания в
командно-контрольный сервер во время установки руткита в систему. В случае
какой-либо ошибки, по словам Харли, руткит посылает сообщение о комплексной
ошибке, что дает разработчикам вредоносного ПО достаточно информации для того,
чтобы определить причину неисправности.

Все это, пишет Харли в своем последнем
посте,
свидетельствует о том, что бот все еще находится в стадии разработки.

"Мы также нашли способ противодействия бот-трекеру на основе виртуальных
машин: во время установки вредоносного ПО он проверяет, можно ли в данный момент
запустить дроппер в среде виртуальной машины и эта информация отсылается на
командно-контрольный сервер. Конечно, вредоносное ПО, которое запускается в
виртуальной среде, не представляет из себя ничего необычного в мире современного
вредоносного ПО, но в мире TDL это кое-что новое", — говорит он.

Одно из самых интересных направлений эволюции бот-сети, отмечает Infosecurity,
это то, что изменилось расположение скрытой файловой системы.

В отличие от предыдущей версии, которая, как пишет Харли, была способна
хранить не более 15 файлов — независимо от размера занятого пространства —
мощность новой файловой системы ограничивается размером вредоносных разделов.

Файловая система, представленная в последней модификации вредоносной
программы, более продвинутая, чем ранее, отметил Харли, добавив, что, например,
вредоносное ПО способно обнаружить повреждение файлов, хранящихся в скрытой
файловой системе, путем вычисления контрольной суммы CRC32 и сравнивая ее со
значением, хранящимся в заголовке файла.

В случае, если файл поврежден, он удаляется из файловой системы.

На Avecto Марк Остин,
специалист по Windows, сказал, что удаление прав администратора поможет добавить
дополнительный уровень защиты в непрекращающейся борьбе против
кодеров-злоумышленников.

"TDL4 – это вредоносный код, который охватывает как аспекты устранения
конкурентов, типа Zeus, так и добавления технологий, которые делают обычный
шаблонный/эвристический анализ намного более трудным", — объясняет он.

Удаление прав
администратора, продолжил он, это мощный инструмент
, являющийся частью
многослойной стратегии IT-безопасности в постоянно ведущейся борьбе с
вредоносным ПО во всех его формах и проявлениях.

"Даже если вам, например, "повезло" обнаружить одну или несколько учетных
записей, скомпрометированных с помощью фишинг-атаки, тот факт, что учетная(ые)
запись(и) ограничены в своих действиях поможет снизить негативный эффект от
проблем, связанных с нарушением информационной безопасности", — добавил он.

Такое вредоносное ПО, как это, сказал Остин, почти наверняка развивается,
киберпреступники, усовершенствовав некоторые функции, удалив старый код и
добавив новые элементы, получают возможности воспользоваться вновь открывшимся
направлениями для атак.

"Не надо быть гением, чтобы понять, что победит новое эволюционировавшее
поколение вредоносных программ – или, что особенно важно, совершенно новый код
вредоносного ПО. Что необходимо, так это тщательно спланированная стратегия, с
хорошо продуманной реализацией, использующая несколько элементов безопасности,
которые, при их сочетании, дадут больший эффект, чем сумма их компонентов", —
отметил он.

"Привилегированное управление учетной записью может существенно помочь
IT-специалистам в этом, поскольку станет дополнительным бастионом в их системе
обороны. Это часть GRC-управления, концепции анализа рисков и совместимости –
система, на которой основывается вся современная система IT¬-управления
безопасностью", — добавил он.



Оставить мнение