Περιεχόμενα Άρθρου
- Οι εικονικοί σκληροί δίσκοι υφίστανται κατάχρηση σε εκστρατείες phishing, προειδοποιούν οι ειδικοί
- Οι εικονικές μονάδες δίσκου χρησιμοποιούνται για την απόθεση κακόβουλου λογισμικού RAT σε ανυποψίαστα εισερχόμενα
- Ο εντοπισμός του φορέα επίθεσης είναι ιδιαίτερα δύσκολος από το antivirus
Τα αρχεία εικονικού σκληρού δίσκου με δυνατότητα τοποθέτησης, συνήθως σε μορφές .vhd και .vhdx, επιτρέπουν στους χρήστες να δημιουργούν εικονικούς τόμους που λειτουργούν όπως οι φυσικές μονάδες δίσκου σε περιβάλλον Windows.
Ενώ αυτά τα αρχεία έχουν νόμιμη χρήση στην ανάπτυξη λογισμικού και στις εικονικές μηχανές, οι εγκληματίες του κυβερνοχώρου τα εκμεταλλεύονται όλο και περισσότερο για να παρέχουν κακόβουλο λογισμικό, προειδοποιούν οι ειδικοί.
Πρόσφατη έρευνα από Cofense Intelligence αποκάλυψε ότι τέτοια εργαλεία χρησιμοποιούνται τώρα για την παράκαμψη μηχανισμών ανίχνευσης όπως οι ασφαλείς πύλες ηλεκτρονικού ταχυδρομείου (SEG) και οι λύσεις προστασίας από ιούς για την απόρριψη των Trojan Remote Access (RAT).
Η αυξανόμενη χρήση των εικονικών αρχείων σκληρού δίσκου
Αυτή η εκμετάλλευση είναι ιδιαίτερα δύσκολο να εντοπιστεί, ακόμη και με εξελιγμένα εργαλεία σάρωσης που χρησιμοποιούνται από SEG και λύσεις προστασίας από ιούς, καθώς το κακόβουλο λογισμικό παραμένει κρυμμένο στα προσαρτημένα αρχεία.
Η τελευταία καμπάνια έχει μετατοπίσει την εστίαση σε επιθέσεις phishing με θέμα τη συνέχιση και στοχεύουν άτομα που μιλούν Ισπανικά. Τα μηνύματα ηλεκτρονικού ταχυδρομείου περιείχαν αρχεία .vhdx τα οποία, όταν άνοιγαν, εκτελούσαν τη δέσμη ενεργειών της Visual Basic για να φορτώσουν το Remcos RAT στη μνήμη.
Αυτή η καμπάνια περιλάμβανε συγκεκριμένα αρχεία autorun.inf που είχαν σχεδιαστεί για να εκμεταλλεύονται παλαιότερες εκδόσεις των Windows που εξακολουθούν να υποστηρίζουν τις δυνατότητες AutoRun, αποδεικνύοντας περαιτέρω την πρόθεση των εισβολέων να εκμεταλλευτούν ένα ευρύ φάσμα πιθανών θυμάτων με διαφορετικές ρυθμίσεις συστήματος.
Το AutoRun, μια δυνατότητα σε παλαιότερες εκδόσεις των Windows, επιτρέπει σε ένα αρχείο να εκτελείται αυτόματα όταν προσαρτάται ένας τόμος. Οι εισβολείς έχουν συχνά εκμεταλλευτεί αυτή τη δυνατότητα για να τρέξουν κακόβουλα ωφέλιμα φορτία χωρίς παρέμβαση χρήστη σε συστήματα όπου είναι ενεργοποιημένη η αυτόματη εκτέλεση.
Αν και τα Windows Vista και οι νεότερες εκδόσεις μετριάζουν αυτούς τους κινδύνους απενεργοποιώντας την αυτόματη εκτέλεση, οι χρήστες με απαρχαιωμένα συστήματα παραμένουν ευάλωτοι στη σιωπηλή εκτέλεση κακόβουλου λογισμικού. Ακόμη και χωρίς AutoRun, οι εισβολείς μπορούν να χρησιμοποιήσουν το AutoPlay για να ωθήσουν τα θύματα να εκτελέσουν μη αυτόματα το κακόβουλο ωφέλιμο φορτίο, αξιοποιώντας τον ανθρώπινο παράγοντα για να παρακάμψουν τους ελέγχους ασφαλείας.
Οι εισβολείς μπόρεσαν επίσης να παρακάμψουν διάφορα SEG ενσωματώνοντας κακόβουλο περιεχόμενο σε αρχεία εικονικού σκληρού δίσκου μέσα σε συνημμένα αρχειοθέτησης, παρακάμπτοντας SEG από μεγάλους προμηθευτές ασφαλείας, όπως η Cisco και η Proofpoint.
Οι παράγοντες απειλών περιπλέκουν περαιτέρω την ανίχνευση χειραγωγώντας τους κατακερματισμούς αρχείων στα αρχεία εικονικού σκληρού δίσκου. Προσθέτοντας περιττά δεδομένα πλήρωσης ή τροποποιώντας την κατανομή χώρου αποθήκευσης, μπορούν να δημιουργήσουν αρχεία που εμφανίζονται διαφορετικά στις σαρώσεις, αλλά εξακολουθούν να παρέχουν το ίδιο κακόβουλο ωφέλιμο φορτίο.
Περισσότερα από το TechRadar Pro
VIA: Πηγή Άρθρου
Greek Live Channels Όλα τα Ελληνικά κανάλια:
Βρίσκεστε μακριά από το σπίτι ή δεν έχετε πρόσβαση σε τηλεόραση;
Το IPTV σας επιτρέπει να παρακολουθείτε όλα τα Ελληνικά κανάλια και άλλο περιεχόμενο από οποιαδήποτε συσκευή συνδεδεμένη στο διαδίκτυο.
Αν θες πρόσβαση σε όλα τα Ελληνικά κανάλια
Πατήστε Εδώ
Ακολουθήστε το TechFreak.GR στο Google News για να μάθετε πρώτοι όλες τις ειδήσεις τεχνολογίας.
