一种新的隐形支付卡恶意软件
相关标签: # 研究# 数据# 恶意软件# 攻击# 软件
安全研究人员发现了一个复杂的支付卡恶意软件,它在操作系统启动之前执行,这使得恶意软件很难检测到,更不用说删除了。
所涉及的恶意软件属于“复仇女神“–;一个恶意软件套件,包括用于在受感染的计算机上捕获屏幕、传输文件、注入进程、记录击键和执行其他恶意活动的所有软件程序。
Nemesis恶意软件家族在过去曾出现过,目标是银行、ATM、金融交易处理、信用合作社和金融业务服务公司。
Nemesis Bootkit恶意软件–;即使在重新安装操作系统后也会重新出现
具有bootkit功能的恶意软件自今年年初开始运行,能够修改合法的VBR(卷引导记录)这使得恶意软件可以在Windows启动前加载。
- 这使得使用传统安全方法很难检测和消除恶意威胁。
此外,恶意软件驻留在硬盘驱动器的低级部分。
- 这使得即使在完全重新安装Windows操作系统后,恶意软件感染也会再次出现。
FireEye的安全分析师在周一发布的一篇博客文章中写道:“持续存在于操作系统(OS)之外的恶意软件需要一种不同的检测和根除方法。”。
“几乎可以完全独立于Windows[OS]安装和执行具有引导套件功能的恶意软件。因此,事件响应者将需要能够大规模访问和搜索原始磁盘以获取引导套件证据的工具。”
恶意软件是如何工作的?
今年年初,网络犯罪分子对Nemesis进行了调整,加入了一个名为皮疹它可以修改受感染计算机的启动过程。
在正常启动时,任何Windows PC都会从硬盘的MBR读取数据(主引导记录)加载VBR–;一段特定于操作系统的代码,包含操作系统开始引导过程的指令。
该过程通常如下所示:
然后,VBR通常会加载操作系统代码,但BOOTRASH会加载:
- 首先,将虚拟文件系统中存储的Nemesis组件注入Windows内核的恶意代码
- 然后是操作系统代码
由于BOOTRASH是在机器操作系统之外加载的,因此它不会接受任何类型的完整性检查,系统的反病毒程序也不会扫描它的任何组件,这有助于恶意软件逃避检测。
研究人员称,BOOTRASH的两个版本都针对这两个目标32位和64位Windows架构。此外,由于这个新添加的Bootkit组件,重新安装操作系统不会删除Nemesis恶意软件。
Nemesis恶意软件背后的黑客
FireEye的研究人员认为,Nemesis bootkit恶意软件属于一个可能位于俄罗斯的黑客金融犯罪组织,名为FIN1.
“我们确认了一个有经济动机的威胁组织的存在,我们追踪该组织称之为FIN1,其在该组织的活动可追溯到几年前。”FireEye研究员写道。“威胁组织部署了大量恶意文件和实用程序,所有这些都是恶意软件开发人员称为‘复仇女神’的恶意软件生态系统的一部分。”
研究人员认为,FIN1黑客组织在大多数情况下使用这种恶意软件访问受害者环境并窃取持卡人数据。过去,研究人员在分析FIN1的恶意软件时遇到了复仇女神家族的不同版本。
如何保护您的系统免受Nemesis Bootkit恶意软件的攻击?
重新安装Windows计算机的操作系统不足以清除此恶意软件。
针对这种恶意软件威胁的解决方案是使用软件工具,这些工具可以大规模访问和扫描原始磁盘,寻找启动包的证据,或者在重新安装操作系统之前物理擦除磁盘。
FireEye的研究人员建议:“系统管理员应该对任何受到引导套件危害的系统进行完整的物理擦除,然后重新加载操作系统。”。
Nemesis绝不是第一个为了获得持久性和隐蔽性而劫持PC正常启动过程的恶意软件家族,但它并不是第一个包含bootkit功能的恶意软件家族。
过去,研究人员检测到恶意威胁,例如TDL4(奥尔马里克),方程式,云和卡贝普。其中,Carberp banking特洛伊木马针对的是金融机构。
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
