Эксперты столкнулись с интересным использованием руткита, который взламывает браузеры, чтобы изменить домашние страницы пользователей на страницу, контролируемую злоумышленником. Этот подход отличается от обычных руткитов, которые используют вредоносные исполняемые файлы или ключи реестра для изменения домашних страниц пользователей.

Описание руткита

Это вредоносное ПО, получившее название Spicy Hot Pot, загружает дампы памяти из систем пользователей на серверы своих операторов и вставляет возможность локального обновления, которая гарантирует, что вредоносное ПО может оставаться в актуальном состоянии. В отличие от предыдущих руткитов, Spicy Hot Pot включает в себя еще один шаг, чтобы оставаться незаметным: он сбрасывает на диск два драйвера режима ядра, которые устанавливаются в процессе заражения вредоносным ПО.

Эти вредоносные драйверы выполняют ряд функций. Они могут:

- Не позволять программному обеспечению безопасности перехватывать их функции обратного вызова.

- Собирать дампы памяти, созданные в компьютерной системе, из определенного каталога.

- Разрешать злоумышленнику обновлять вредоносное ПО любым удобным для него способом.

- Перехватывать и изменять пользовательские запросы ввода и вывода.

- Перехватывать попытки администраторов отображать вредоносные файлы, делая их практически невидимыми даже для сканера руткитов.

Открытие руткита

Spicy Hot Pot был обнаружен, когда команда экспертов была предупреждена о подозрительном двоичном файле, который пытался запуститься в среде Windows 10 клиента. Расследование показало, что бинарный файл был связан с руткитом для взлома браузера. Этот руткит поместил семь исполняемых файлов и два вредоносных драйвера в систему клиента, прежде чем отключить режим гибернации целевой машины. Сброшенные на диск драйверы ядра не были видны пользователям, поскольку руткит блокировал отображение вредоносных файлов.

Расследование

Команда экспертов признала, что руткит был замечен еще в 2019 году и с тех пор порождал различные варианты. Эксперты смогли смоделировать действия вредоносного ПО и в процессе обнаружили наличие более распространенного варианта, чем исследуемый руткит. У этого варианта была отметка времени создания, датируемая четырьмя годами назад, что указывало на то, что Spicy Hot Pot был основан на более старом инструменте для взлома, который, вероятно, был переупакован и распространен его создателем.

Из девяти файлов, удаленных руткитом Spicy Hot Pot, восемь были подписаны разными сертификатами подписи, выданными одному объекту. Срок действия этих сертификатов подписи составлял от 10 лет до одной минуты, но срок действия всех истек. Несмотря на то, что срок их действия истек, их все еще можно было успешно установить из-за исключений из принудительной подписи драйверов.

Затем команда экспертов сравнила первый сертификат подписи с общедоступным хранилищем образцов вредоносных программ и обнаружила сотни уникальных образцов вредоносных программ, связанных с Spicy Hot Pot. Подразумевалось, что оператор вредоносного ПО мог продолжать использовать эти сертификаты и вряд ли прекратит это в ближайшее время.

Несмотря на то, что Spicy Hot Pot фильтрует пользовательские входные и выходные запросы, чтобы скрыть свои файлы, эксперты смогли использовать телеметрию, чтобы выявить действия по заражению, запрограммированные в вредоносном ПО, а функция Real Time Response (RTR) смогла найти драйверы ядра и удалить двоичные файлы, присутствующие в целевой системе.

Исправление

Как и другие руткиты, драйверы фильтра ядра Spicy Hot Pot не могут быть остановлены пользователем. Вредоносный драйвер препятствует удалению ключей реестра, служб или самих драйверов, поэтому его удаленное удаление может быть проблемой. Как обычно, для удаления вредоносных программ-руткитов часто требуется выключить компьютер или загрузить его в безопасном режиме, что невозможно сделать удаленно. Однако экспертам удалось найти способ остановить запуск Spicy Hot Pot при запуске, что сделало возможным удаленное исправление.

Spicy Hot Pot помещает вредоносные драйверы в папку WindowsApps. При переименовании папки драйверы фильтров стали видимыми, поскольку пути, на который ссылались вредоносные драйверы, больше не существовало, и поэтому драйверы не загружались. На этом этапе службы и ключи реестра, связанные с руткитом Spicy Hot Pot, могут быть удалены.

Руткиты распространяются теми же путями, что и любое вредоносное ПО: электронная почта, USB-накопители, уязвимости и т. д. Организации должны применять все стандартные методы защиты конечных точек, такие как обучение по вопросам безопасности, программы управления уязвимостями и контроль устройств, чтобы защитить свои конечные точки. Эти шаги предотвратят проникновение некоторых вредоносных программ в инфраструктуру, но не остановят все вредоносные программы и не помогут с исправлением.

Большинство решений для защиты конечных точек ориентированы на локальную операционную систему и приложения, работающие поверх нее. Достижения в этой области, такие как машинное обучение, обнаружение конечных точек и реагирование на них, а также поведенческая аналитика, усложнили киберпреступникам достижение их целей. В ответ злоумышленники переключили свое внимание на вычислительные уровни операционной системы — программное обеспечение, на котором работает аппаратное обеспечение. Распространение вредоносных программ-руткитов растет.

Наилучшей защитой от вредоносных программ-руткитов является решение для защиты конечных точек, в котором используются передовые технологии, такие как искусственный интеллект, телеметрия и возможности реагирования в реальном времени, которые могут выявлять трудно обнаруживаемые руткиты и останавливать их до того, как они запустятся.

Еще одна ключевая функция — непрерывный контролируемый мониторинг BIOS каждой конечной точки для предотвращения атак руткитов ядра. Благодаря этим возможностям организации смогут останавливать атаки до того, как они активируются, и даже обнаруживать спящие угрозы, дремлющие в глубинах их вычислительных уровней.

Важно отметить, что не только вредоносное ПО и вирусы влияют на работу сайта, а и многие другие факторы. Но, какова бы ни была причина, по которой страница сайта не открывается, например проблемы с базой данных или сервером, DDoS-атаки или вирусы, важно контролировать доступность сайта для посетителя. Ситуация, при которой пользователь не может открыть страницу вашего сайта, отрицательно влияет на поднятие сайта в поиске (поисковой выдаче) и оставляет негативное впечатление о вашем сайте у посетителя. Вы теряете потенциальных клиентов, а значит и деньги. Используйте хороший сервис, например BAILRY для постоянного контроля (проверки) доступности сайта. Сервис предоставляет как бесплатную регулярную (периодическую) проверку доступности сайта, так и платную услугу - для постоянного контроля доступности сайта.

Компания Mainton - разработка и тестирование программного обеспечения под заказ, SEO и реклама в интернете с 2004 года.