A pusztító rosszindulatú programok könnyen elrejtőzhetnek a szem előtt

A kibertámadók folyamatosan új módszereket találnak az észlelés elkerülésére és a gyanútlan felhasználók kihasználására. Az egyik ilyen fenyegetést keltő hullám a Havoc, egy nyílt forráskódú parancs- és vezérlési (C2) keretrendszer, amelyet egy kifinomult adathalász kampányban használtak. A hagyományos rosszindulatú programokkal ellentétben a Havoc fejlett technikákat alkalmaz jelenlétének elrejtésére, és rosszindulatú tevékenységeket hajt végre legitim szolgáltatások leple alatt.

Mi az a Havoc Malware?

A Havoc egy kihasználás utáni keretrendszer, amelyet a kiberbiztonsági szakemberek számára terveztek a hálózati védelem tesztelésére. Azonban, mint sok legitim biztonsági eszközt, ezt is a fenyegetés szereplői választották rosszindulatú célokra. Ebben az esetben a támadók módosították a Havoc "démon" ügynökét, hogy elkerüljék az észlelést és megkönnyítsék a titkos műveleteket.

Ez a rosszindulatú program egy adathalász kampányon keresztül érkezik, amely a ClickFix néven ismert módszert használja ki. A támadás egy e-maillel kezdődik, amelyhez egy „Documents.html” HTML-melléklet tartozik. Megnyitáskor ez a fájl hibaüzenetet jelenít meg, amely arra utasítja a felhasználókat, hogy másoljanak és futtassák a PowerShell-parancsot. Ez a látszólag egyszerű lépés elindítja a fertőzési folyamatot, így a támadók irányíthatják az áldozat rendszerét.

Hogyan működik a Havoc?

A rosszindulatú PowerShell-szkript végrehajtása után az ellenfél által vezérelt SharePoint-kiszolgálóhoz fordul további szkriptek letöltése és futtatása érdekében. A támadás több szakaszban bontakozik ki:

  1. Környezetészlelés: A szkript először ellenőrzi, hogy homokozóban vagy virtualizált környezetben fut-e. Ez egy gyakori technika a kiberbiztonsági elemző eszközök elkerülésére.
  2. Python-telepítés: Ha a rendszer nem észlel homokozót, akkor letölti a Python-értelmezést, ha még nincs telepítve a rendszerre.
  3. Shellcode végrehajtás: A letöltött Python-szkript ezután betölt egy shellkód-darabot, amely a Havoc Demon ügynök elindításáért felelős.
  4. Command-and-Control kommunikáció: A rosszindulatú program a Microsoft Graph API segítségével létesít kommunikációt üzemeltetőivel, amely egy széles körben megbízható szolgáltatás. Ez a módszer lehetővé teszi a támadók számára, hogy a rosszindulatú forgalmat legitimnek álcázzák, ami jelentősen megnehezíti az észlelést.

Mi a Havoc Malware célja?

A feltört rendszerre való telepítést követően a Havoc eszközöket kínál a támadóknak parancsok végrehajtására, felhasználói jogosultságok manipulálására, érzékeny adatok ellopására és még Kerberos támadások végrehajtására is. Néhány képessége a következőket tartalmazza:

  • Rendszer- és felhasználói információk gyűjtése
  • Fájlműveletek végrehajtása, például adatok feltöltése és letöltése
  • Tetszőleges parancsok és rakományok végrehajtása
  • Felhasználói tokenek manipulálása a jogosultságok kiterjesztése érdekében
  • Hálózati felderítés és hitelesítő adatok ellopása

A Havoc Malware következményei

A Havoc kibertámadásokban való alkalmazása komoly biztonsági következményekkel jár mind az egyének, mind a szervezetek számára. Más rosszindulatú programokkal ellentétben, amelyek jól ismert hacker-infrastruktúrára támaszkodnak, a Havoc kihasználja a széles körben megbízható szolgáltatásokat, mint például a SharePoint és a Microsoft Graph API, hogy elkerülje az észlelést. Ez a megközelítés lehetővé teszi a támadók számára, hogy tevékenységeiket a legitim hálózati forgalommal vegyítsék, ami megnehezíti a hagyományos biztonsági eszközök számára a rosszindulatú műveletek azonosítását és blokkolását.

Különösen kiszolgáltatottak azok a szervezetek, amelyek a Microsoft-szolgáltatásokra támaszkodnak együttműködésben és adattárolásban, mivel az adathalász kampány hamis Microsoft OneDrive hibaüzenetekkel célozza meg a felhasználókat. A gyanútlan alkalmazottak, akik követik a csaló e-mailben található utasításokat, akaratlanul is teljes körű rendszerkompromittáláshoz vezethetnek.

Hogyan védekezzünk a pusztító rosszindulatú programok ellen

A Havoc által alkalmazott kifinomult technikák miatt mindenkinek proaktív megközelítést kell alkalmaznia a kiberbiztonság terén. Néhány kulcsfontosságú intézkedés a kockázat csökkentésére:

  • Felhasználói tudatosság és képzés: Az alkalmazottak és a felhasználók felvilágosítása az adathalász taktikákról, beleértve a ClickFix-et és más manipulációs módszereket. Bátorítson szkepticizmust a kéretlen e-mailekkel szemben mellékletekkel vagy parancsok futtatására vonatkozó utasításokkal.
  • E-mail biztonsági intézkedések: Használjon fejlett e-mail-szűrési megoldásokat a rosszindulatú mellékletek elkapására és blokkolására, mielőtt azok elérnék a felhasználókat.
  • Endpoint Protection: Végpont-észlelési és válaszadási (EDR) megoldások telepítése, amelyek képesek azonosítani és megállítani a Havoc-hoz és hasonló rosszindulatú programokhoz kapcsolódó szokatlan viselkedést.
  • Korlátozott PowerShell-használat: Korlátozza a PowerShell-szkriptek használatát a végrehajtási házirendek kényszerítésével és csak aláírt szkriptek futtatásának engedélyezésével.
  • Hálózatfigyelés: Figyelemmel kíséri a hálózati forgalmat különös tevékenységek, különösen a külső SharePoint-kiszolgálókhoz való kapcsolódások vagy a rendellenes Microsoft Graph API interakciók miatt.
  • Rendszeres frissítések és javítások: Győződjön meg arról, hogy minden szoftver és rendszer naprakész, hogy csökkentse a támadók által kihasználható sebezhetőségeket.

Végső gondolatok

A pusztító kártevők növekvő tendenciát képviselnek, ahol a nyílt forráskódú biztonsági eszközöket rosszindulatú tevékenységekre használják fel. A megbízható szolgáltatások, például a Microsoft Graph API és a SharePoint kihasználásával a támadók hatékonyan elfedhetik műveleteiket, ami egyre nehezebbé teszi az észlelést. Ahogy a kiberfenyegetések egyre kifinomultabbak, a felhasználóknak ébernek kell maradniuk, és robusztus biztonsági intézkedéseket kell bevezetniük a fejlődő támadások elleni védelem érdekében.

A Havoc működésének megértése és a kockázatok mérséklésére irányuló proaktív lépések megtétele segíthet az egyéneknek és a vállalkozásoknak megvédeni magukat ezzel a kialakuló kiberbiztonsági fenyegetéssel szemben.

Willa -Ig
March 4, 2025
Rosszindulatú
Magyar
March 4, 2025
Rosszindulatú

Népszerű Bejegyzések

Mi az OperaGXSetup.exe fájl, és rosszindulatú?

11 months ezelőtt

Az Eporner.com és miért kockázatos a túl sok előugró ablak?

12 days ezelőtt

Vegye figyelembe: Valaki felvette Önt helyreállítási...

10 months ezelőtt

HackTool:Win32/Crack: rosszindulatú fenyegetés, amely súlyosan...

7 months ezelőtt

Potenciálisan komoly fenyegetés: Trojan:Win32/Suschil!rfn

19 days ezelőtt

Mi a Packunwan trójai faló fenyegetés, és hogyan érintheti a...

11 months ezelőtt
Magyar
Betöltés...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Itthon

Termékek

Cyclonis Password Manager Cyclonis World Time

Támogatás

Súgó fájlok GYIK Downloads Inquiries & Support

Vállalat

Rólunk Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Adatvédelmi irányelvek Cookie-szabályzat Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

A Windows a Microsoft védjegye az Egyesült Államokban és más országokban.
A Mac, az iPhone, az iPad és az App Store az Apple Inc. védjegye az Egyesült Államokban és más országokban.
Az iOS a Cisco Systems, Inc. és/vagy leányvállalatainak bejegyzett védjegye az Egyesült Államokban és bizonyos más országokban.
Az Android és a Google Play a Google LLC védjegye.