Контакты
Подписка 2024
Удаленный доступ
4 июля. Защищенный удаленный доступ к ИТ-инфраструктуре: как обеспечить контролируемое подключение внешних сотрудников
Регистрируйтесь на онлайн-конференцию!

Новую вредоносную программу Beep практически невозможно обнаружить

15/02/23

На прошлой неделе аналитиками компании Minerva была обнаружена новая скрытая вредоносная программа под названием «Beep», обладающая множеством функций, позволяющих избежать анализа и обнаружения программным обеспечением безопасности. Об этом пишет Securitylab.

Хотя вредонос Beep всё ещё находится в разработке и в нём пока отсутствуют несколько ключевых функций, в настоящее время он уже позволяет злоумышленникам загружать и выполнять дополнительные полезные нагрузки на скомпрометированных устройствах. Beep используется в первую очередь для кражи информации. Для работы программы задействуется три отдельных компонента: дроппер, инжектор и полезная нагрузка.

Дроппер («big.dll») создаёт новый раздел реестра со значением «AphroniaHaimavati», который содержит сценарий PowerShell в кодировке base64. Этот сценарий запускается каждые 13 минут с помощью запланированной задачи Windows.

Когда скрипт выполняется, он загружает данные и сохраняет их в инжектор с названием AphroniaHaimavati.dll. Инжектор — это компонент, который использует ряд методов защиты от отладки и защиты от виртуальных машин для внедрения полезной нагрузки в законный системный процесс «WWAHost.exe» с помощью «опустошения процесса» («Process Hollowing»), чтобы избежать обнаружения антивирусными средствами, запущенными на хосте.

Наконец, основная полезная нагрузка пытается собрать данные со взломанного компьютера, зашифровать их и отправить на C2-сервер. Во время анализа специалистами Minerva, жёстко прописанный в коде C2-сервер был отключен, но вредоносная программа пыталась подключиться к нему даже после 120 неудачных попыток.

7jkbwhljksxce63iu6zi8tmn1bf8u47j

Что отличает вредоносную программу Beep от других, так это использование множества методов на протяжении всего процесса выполнения, чтобы избежать обнаружения и анализа антивирусными решениями и исследователями кибербезопасности. Специалисты Minerva обнаружили 8 различных техник, которые вредонос применяет в своей работе, и подробно описали их в своём отчёте.

Beep — это пример вредоносного ПО, которое в значительной степени ориентировано на уклонение, внедряющее сразу несколько механизмов антианализа, прежде чем завершить процесс кражи данных и выполнения вредоносных команд. Хотя в реальных атаках он встречается редко, Beep в будущем может стать серьёзной угрозой, на которую следует обратить внимание уже сейчас.

Темы:УгрозыMinerva Labs
NGFW
28 июня. Комплексный подход к кибербезопасности. Защита АСУ ТП. Безопасность КИИ
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...