„Havoc“ kenkėjiška programa gali lengvai pasislėpti matomoje vietoje

Kibernetiniai užpuolikai nuolat randa naujų būdų, kaip išvengti aptikimo ir išnaudoti nieko neįtariančius vartotojus. Viena iš tokių grėsmių bangų yra Havoc, atvirojo kodo komandų ir valdymo (C2) sistema, kuri buvo panaudota sudėtingoje sukčiavimo kampanijoje. Skirtingai nuo tradicinių kenkėjiškų programų, Havoc naudoja pažangias technologijas, kad nuslėptų savo buvimą ir vykdytų kenkėjišką veiklą prisidengdama teisėtomis paslaugomis.

Kas yra Havoc kenkėjiška programa?

Havoc – tai sistema po eksploatavimo, skirta kibernetinio saugumo profesionalams išbandyti tinklo apsaugą. Tačiau, kaip ir daugelį teisėtų saugos priemonių, grėsmės veikėjai jį pasirinko piktybiniais tikslais. Šiuo atveju užpuolikai modifikavo Havoco „Demono“ agentą, kad išvengtų aptikimo ir palengvintų slaptas operacijas.

Ši kenkėjiška programa pristatoma per sukčiavimo kampaniją, kurioje naudojamas metodas, žinomas kaip ClickFix . Ataka prasideda el. laišku, kuriame yra HTML priedas pavadinimu „Documents.html“. Atidarius šį failą pateikiamas klaidos pranešimas, nurodantis vartotojams nukopijuoti ir paleisti „PowerShell“ komandą. Šis, atrodytų, paprastas veiksmas inicijuoja užkrėtimo procesą, suteikiant užpuolikams aukos sistemos kontrolę.

Kaip veikia Havoc?

Kai vykdomas kenkėjiškas PowerShell scenarijus, jis susisiekia su priešo valdomu SharePoint serveriu, kad atsisiųstų ir paleistų papildomus scenarijus. Išpuolis vyksta keliais etapais:

  1. Aplinkos aptikimas: scenarijus pirmiausia patikrina, ar jis veikia smėlio dėžėje, ar virtualizuotoje aplinkoje. Tai yra įprastas būdas išvengti kibernetinio saugumo analizės įrankių.
  2. Python diegimas: jei smėlio dėžė neaptinkama, atsisiunčiamas Python interpretatorius, jei jis dar neįdiegtas sistemoje.
  3. Shellcode vykdymas: atsisiųstas Python scenarijus įkelia apvalkalo kodo dalį, kuri yra atsakinga už Havoc Demon agento paleidimą.
  4. Komandų ir valdymo komunikacija: kenkėjiška programa užmezga ryšį su savo operatoriais naudodama Microsoft Graph API , plačiai patikimą paslaugą. Šis metodas leidžia užpuolikams užmaskuoti savo kenkėjišką srautą kaip teisėtą, todėl aptikimas tampa daug sudėtingesnis.

Koks yra „Havoc“ kenkėjiškų programų tikslas?

Įdiegus pažeistoje sistemoje, „Havoc“ suteikia užpuolikams įrankių rinkinį, skirtą komandoms vykdyti, vartotojo privilegijomis manipuliuoti, neskelbtiniems duomenims pavogti ir net Kerberos atakoms vykdyti. Kai kurios jo galimybės apima:

  • Sistemos ir vartotojo informacijos rinkimas
  • Failų operacijų, tokių kaip duomenų įkėlimas ir atsisiuntimas, atlikimas
  • Savavališkų komandų ir naudingų krovinių vykdymas
  • Manipuliavimas vartotojo prieigos raktais siekiant padidinti teises
  • Tinklo žvalgybos ir kredencialų vagystės vykdymas

„Havoc“ kenkėjiškos programos pasekmės

Havoc naudojimas kibernetinėse atakose turi rimtų padarinių saugumui tiek asmenims, tiek organizacijoms. Skirtingai nuo kitų kenkėjiškų programų, kurios remiasi gerai žinoma įsilaužimo infrastruktūra, Havoc naudojasi plačiai patikimomis paslaugomis, tokiomis kaip SharePoint ir Microsoft Graph API, kad išvengtų aptikimo. Šis metodas leidžia užpuolikams sujungti savo veiklą su teisėtu tinklo srautu, todėl tradiciniams saugos įrankiams sunkiau nustatyti ir blokuoti kenkėjiškas operacijas.

Organizacijos, kurios naudojasi „Microsoft“ paslaugomis bendradarbiavimui ir duomenų saugojimui, yra ypač pažeidžiamos, nes sukčiavimo kampanija nukreipta į vartotojus su netikrus „Microsoft OneDrive“ klaidų pranešimus. Neįtariantys darbuotojai, kurie vykdo apgaulingame el. laiške pateiktas instrukcijas, gali netyčia sukelti viso masto sistemos kompromisą.

Kaip apsisaugoti nuo kenkėjiškų programų

Atsižvelgiant į sudėtingas Havoc taikomas technologijas, kiekvienas turi imtis aktyvaus požiūrio į kibernetinį saugumą. Kai kurios pagrindinės rizikos mažinimo priemonės yra šios:

  • Naudotojų informavimas ir mokymas: mokykite darbuotojus ir vartotojus apie sukčiavimo taktiką, įskaitant ClickFix ir kitus socialinės inžinerijos metodus. Skatinkite skepticizmą dėl nepageidaujamų el. laiškų su priedais arba komandų vykdymo instrukcijomis.
  • El. pašto saugos priemonės: Įdiekite pažangius el. pašto filtravimo sprendimus, kad gautumėte ir blokuotumėte kenkėjiškus priedus, kol jie nepasiektų naudotojų.
  • Endpoint Protection: diegti galinių taškų aptikimo ir atsako (EDR) sprendimus, kurie gali nustatyti ir sustabdyti neįprastą elgesį, susijusį su Havoc ir panašiomis kenkėjiškomis programomis.
  • Apribotas „PowerShell“ naudojimas: apribokite „PowerShell“ scenarijų naudojimą įvesdami vykdymo politiką ir leisdami paleisti tik pasirašytus scenarijus.
  • Tinklo stebėjimas: Stebėkite tinklo srautą, ar nėra specifinės veiklos, ypač jungčių su išoriniais SharePoint serveriais arba neįprastos Microsoft Graph API sąveikos.
  • Reguliarūs naujinimai ir pataisymai: įsitikinkite, kad visa programinė įranga ir sistemos yra atnaujintos, kad sumažintumėte pažeidžiamumą, kurį gali išnaudoti užpuolikai.

Paskutinės mintys

Kenkėjiškos programinės įrangos sumaištis yra auganti tendencija, kai atvirojo kodo saugos įrankiai yra naudojami kenkėjiškai veiklai. Naudodami patikimas paslaugas, tokias kaip Microsoft Graph API ir SharePoint, užpuolikai gali veiksmingai užmaskuoti savo veiklą, todėl aptikimas tampa vis sunkesnis. Kadangi kibernetinės grėsmės tampa vis sudėtingesnės, vartotojai turi išlikti budrūs ir imtis patikimų saugumo priemonių, kad apsisaugotų nuo besivystančių atakų.

Supratimas, kaip veikia Havoc, ir imantis aktyvių veiksmų, siekiant sumažinti riziką, gali padėti asmenims ir įmonėms apsiginti nuo šios kylančios kibernetinio saugumo grėsmės.

Iki Willa m
March 4, 2025
Kenkėjiška programa
Lietuvių
March 4, 2025
Kenkėjiška programa

Populiarūs skelbimai

Kas yra OperaGXSetup.exe failas ir ar jis yra kenkėjiškas?

11 months atgal

Eporner.com ir kodėl per daug iššokančių langų yra rizikinga

12 days atgal

Atkreipkite dėmesį: kažkas jus įtraukė kaip atkūrimo el. pašto...

10 months atgal

„HackTool“: „Win32“ / „Crack“: kenkėjiška grėsmė, galinti...

7 months atgal

Galimai rimta grėsmė: Trojos arklys:Win32/Suschil!rfn

19 days atgal

Kas yra Packunwan Trojos arklio grėsmė ir kaip ji gali...

11 months atgal
Lietuvių
Įkeliama ...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Namai

Products

Cyclonis Password Manager Cyclonis World Time

Palaikymas

Help Files DUK Downloads Inquiries & Support

Bendrovė

Apie mus Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Privatumo politika Slapukų politika Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

„Windows“ yra „Microsoft“ prekės ženklas, registruotas JAV ir kitose šalyse.
„Mac“, „iPhone“, „iPad“ ir „App Store“ yra „Apple Inc.“ prekių ženklai, registruoti JAV ir kitose šalyse.
„iOS“ yra registruotas „Cisco Systems, Inc.“ ir (arba) jos filialų JAV ir tam tikrose kitose šalyse prekės ženklas.
„Android“ ir „Google Play“ yra „Google LLC“ prekių ženklai.