امنیت Heimdal Disc باندهایی را که در پشت دامنه های متعدد پنهان شده اند ، برای جلوگیری از تشخیص TTPC کشف می کند

B) رفتار پروکسی

از طرف پروکسی ، بدافزار با لوله کشی داده از سوکت به بافر شروع می شود. پس از آن ، آن را به سادگی داده ها را از یک سوکت کام به خطر انداخته در همان بافر ذخیره می کند.

C) اصلاح رجیستری

تا آنجا که مربوط به اصلاح رجیستری است ، دو نتیجه ممکن است: 19659032] بدافزار می تواند یک دستور ایجاد کلید رجیستری را قبل از حذف مقدار کلید رجیستری موجود حذف کند.

نحوه برخورد نمونه بدافزارها در یک محیط نوع ماسهبازی. تحقیقات بیشتر نشان داده است که به محض آزاد سازی سویه چند فرآیند ، به منظور فراخوانی فرآیندهای مختلف سیستم ، از دامنه های سرکش استفاده می شود ، که این فرضیه را بیشتر از یک زیرساخت جنایی پنهان شده در پشت دامنه های مخرب تقویت می کند.

Modus operandi، بازدیدها ، و تماسها را پردازش کنید.

داده های داخلی Heimdal ™ امنیت نتیجه گرفته است که یک دامنه واحد می تواند تا 35 پردازش سیستم مختلف را فراخوانی کند. در اینجا نکات برجسته تحقیق Heimdal ™ Security وجود دارد.

مطالعه موردی A - Kamburnk

دامنه مخرب به نام " tracking.kamburnk.com " (دامنه مسدود شده و ضدعفونی شده توسط Heimdal ™ Security) فراخوانده شد. urbanvpnserv.exe کمتر از 2400 بار.

روند مورد بحث یک PE32 اجرایی (GUI) اینتل 80386 برای مایکروسافت ویندوز است ، توسعه یافته توسط Urban Security. این برنامه برای نصب سرویس VPN به نام UrbanVPN طراحی شده است. این الگوی مخرب بعداً بعد از عملی شدن تلاش برای رها کردن بار ویروسی و / یا بازنویسی خود ، ایجاد شد.

همان دامنه فرایندهای مختلف سیستم دیگری مانند chrome.exe ، net_svc را فراخوانی کرد. exe ، hola_svc.exe ، firefox.exe ، و HD-Player.exe.

تجزیه و تحلیل مبتنی بر رفتاری منظم نتایج بی نتیجه بازگشت. هیچ الگوی حمله ای نمی توانست برقرار شود. تجزیه و تحلیل TTPC نشان داد احتمال احتمال فعالیت بر اساس فرآیندهای سیستم به طور همزمان افتتاح شد.

الگوی حمله بدافزارهای چند فرآیند ایجاد شد ، و باعث شد عامل به قطع ارتباطات با سرورهای C&C بپردازد.

مطالعه موردی B - TVPASSPORT

دامنه مخرب ، به نام " tvmds.tvpassport.com " (دامنه مسدود شده و ضد ایمن توسط Heimdal it Security) ، سعی در باز کردن کروم دارد. exe .

تعداد در حدود 270 تخمین زده شده است. همان دامنه فرایندهای اضافی سیستم را فراخوانی می کند. مرتب سازی بر اساس تعداد ضربه ها ، مراحل firefox.exe ، iexplore.exe ، System Idle ، brave.exe ، node.exe ، dragon.exe ، msedge.exe و browser.exe تجزیه و تحلیل مبتنی بر رفتار مبتنی بر نتایج نامعقول را ارائه داده است. هیچ الگوی حمله ای نمی تواند ایجاد شود.

TTPC یک احتمال زیاد فعالیت مخرب را تشخیص می دهد ، بر اساس تجزیه و تحلیل جامع انجام شده در مسیر ورود به سیستم. الگوی حمله بدافزارهای چند مرحله ای ایجاد شد. اتصال C&C قطع شد.

Case Study C - U11929015 Sendgrid

دامنه مخرب ، علامت تماس با " u11929015.ct.sendgrid.net " (دامنه مسدود شده و ضدعفونی شده توسط Heimdal ™ Security) تلاش برای باز کردن OUTLOOK.exe.

تعداد آمار در حدود 35 نفر تخمین زده می شود. همزمان ، همان دامنه سعی در باز کردن سیستم های دیگر سیستم دارد.

مرتب سازی بر اساس تعداد ضربه ها ، فرایندها به شرح زیر است: System Idle، chrome.exe، HxOutlook.exe (32 بیتی قابل اجرا که در خدمت توابع مختلف Outlook مانند مدیریت وظیفه ، یادداشت برداری ، تقویم و روزنامه نگاری) ، postbox.exe ، MicrosoftEdgeCP.exe و msedge.exe است .

تجزیه و تحلیل رفتاری انجام شد. در نمونه ، اتصال به عنوان ایمن مشخص شد. تجزیه و تحلیل TTPC متعاقباً رفتار نوع بدافزارهای مختلفی را ایجاد کرد. اتصال به سرورهای C&C قطع شد.

مطالعه موردی D - بروزرسانی Sbis Saby

یک دامنه مخرب به نام " update1.sbis.ru " (دامنه مسدود شده و از طریق امنیت Heimdal san Security) برای باز کردن چندین فرآیند سیستم ، از جمله svchost.exe .

تعداد ضربات کم روی پاس اول است - یک بار برای svchost.exe و حدود 15 بار برای sbis3plugin. exe . آسیب شناسی چند شکل ایجاد شده است. دامنه به " update5.sbis.ru " (مسدود شده و ضدعفونی شده توسط Heimdal ™ Security) تغییر می یابد.

در پاس دوم ، تعداد ضربه ها و مراحل دسترسی به این شرح است: 14 تلاش ثبت شده برای sbi3plugin.exe و یک تلاش برای svchost.exe. جهش دوم - حمله آغاز شده از " update6.saby.ru " (مسدود شده و ضدعفونی شده توسط Heimdal ™ Security). به تغییر زیر دامنه توجه کنید (. sbis → .saby)؛ همین دو فرآیند هدف قرار گرفته اند (svchost.exe و sbis3plugin.exe).

تعداد آمار بصورت تصاعدی رشد می کند - تقریباً 28 بار برای میزبان سرویس خدمات و یک بار پلاگین sbis3 .

پس از ایجاد سواحل ساحلی ، زیر دامنه مجدداً تغییر یافته است. (saby → .sbis). از " updateade6.sbis.ru " ، svchost و sbi3plugin دوباره فراخوانده می شوند. تعداد آمار برای پلاگین sbi و حدود 800 برای میزبان سرویس خدمات می رسد. فرآیندهای دیگر در طول این موج دوم فراخوانی می شوند: SbisMon.exe و Launcher.exe . پاس چهارم - زیر دامنه و شکل دوباره تغییر یافته است.

علامت تماس جدید " update7.saby.ru " است (توسط هایددال ™ امنیتی مسدود شده و ضد عفونی شده است). هدف قرار دادن Subdomain برای دستیابی به افزونه sbi3 ، با تعداد ضربه 35.

پس از گرفتن مجوز ، subdomain یک بار دیگر تغییر پیدا کرد (.saby → .sbis). "[ update7.sbis.ru " (مسدود شده و ضدعفونی شده توسط Heimdal ™ Security) اهداف sbi3plugin.exe ، svchost.exe و مراحل دیگر را دارد. یک تغییر الگوی را می توان مشاهده کرد: حمله ای که با تغییر در زیر دامنه انجام می شود با یک سیستم متفاوت آغاز می شود.

این بار ، حمله با دسترسی به sbis3 ، بر خلاف آخرین دور ، قبل از حرکت به میزبان svc و سایرین آغاز می شود. فرآیندهای سیستم.

تعداد آمار بیش از 1000 sbi3 است ، 856 سیستم System Idle ، و 43 میزبان سرویس فرآیند. پاس پنجم ("[ update8.saby.ru " و " update8.sbis.ru " ، هر دو توسط Heimdal ™ Security مسدود شده و ضدعفونی شده) متقارن است با آخرین: sbi3 دور است. -پنر؛ سوئیچ subdomain (.saby → .sbis).

تعداد ضربه برای افزونه sbi3 37 در گذرگاه ".saby" است ، و بیش از 1000 از زیر دامنه .sis. دیگر سیستم های "رنگ آمیزی": SbisMon.exe ، sbis.exe و chrome.exe .

تجزیه و تحلیل رفتاری نتایج غیر قطعی به همراه آورده است. TTPC احتمال بالای فعالیت بدافزار را نشان داد . با توجه به الگوی حمله و تعداد دامنه ها و دامنه های فرعی که برای استقرار بدافزارها استفاده شده اند ، دلیل بر این است که ممکن است یک زیرساخت جنایی در کار باشد. آسیب شناسی بدافزارهای چند شکل و چند فرآیند تأیید شده است. اتصال به سرورهای C&C قطع شده است.

تجزیه و تحلیل آماری

• در مجموع 3،148،815 حمله در سه ماه گذشته مشاهده شده است.
• 13،24٪ از حملات سرچشمه گرفت. از دامنه ای به نام " pixel.yabidos.com " (مسدود شده و ضدعفونی شده توسط Heimdal ™ Security).
• در 62.39٪ موارد ، مهاجمان سیستم را هدف قرار دادند. آماده به کار ، Chrome.exe - 10.16٪ ، firefox.exe - 1.57٪ ، و iexplore.exe -1.49٪ .
• 10 فرایند بد افزار (بر اساس تعداد ضربه):

• 1.665 فرآیند سیستم در سه ماه گذشته هدف قرار گرفته است.
• تعداد تعداد شمارش های مورد استفاده برای svc.exe و svchost 28185 بود. تنها در 3،27٪ موارد ، مهاجمان سعی در تعدیل ضربات سخت را داشته اند.

نتیجه گیری

با توجه به میزان داده های واقعی ، با اطمینان می توان نتیجه گرفت که یک زیرساخت جنایی از چندین دامنه برای هماهنگی حملات مخرب استفاده می کند. در همه موارد ، رفتاری- کد- و امضای مبتنی بر نتایج متناقض بر می گرداند. به نظر نمی رسد که هیچکدام از دسترسی ها دارای ماهیت مخرب باشند.

با این وجود ، به محض برقراری ارتباط متقابل ، این نرم افزارهای مخرب یک حمله چند منظوره را انجام می دادند که فراتر از حد ممکن فرآیندهای کلیدی آن بود.

• یادگیری ماشینی اسکن شده برای همه ترافیک آنلاین دریافتی ؛
• پیش از قرار گرفتن در معرض اطلاعات حساس ، می تواند نقض اطلاعات را متوقف کند ؛
• تکه های خودکار برای نرم افزار و برنامه های شما بدون هیچ گونه وقفه ای ؛
• محافظت در برابر نشت داده ها ، APT ها ، باج افزار و سوءاستفاده ها ؛

کشف این APT با ارتباط داده های باقیمانده TTPC شرکت Thor Foresight Enterprise با تعداد اتصالات قطع شده توسط DarkLayer Guard ، Heimdal ™ Security's DNS فیلتر راه حل ترافیک تسهیل شده است. [19659006] آیا بدافزارهای چند مرحله ای مرحله بعدی روند تکاملی APT است؟ مطمئناً ، با توجه به اینکه استقرار در مقایسه با بدافزار تک مرحله ای بسیار ساده تر است و از فاکتور مخفیکاری بالاتری برخوردار است.