Эксперты исследовали способы сокрытия деятельности хакеров

Компания Damballa опубликовала отчет, проливающий свет на деятельность киберпреступников. Эксперты объяснили, как киберпреступникам удается оставаться необнаруженными в течение долгого времени.

Специалисты в течение восьми месяцев изучали дроппер Pony, оснащенный средствами для сокрытия деятельности киберпреступников. Как выяснилось, хакеры использовали лишь несколько IP-адресов на каждого провайдера. Подобная осторожность позволяла злоумышленникам дольше оставаться незамеченными.

За период наблюдения хакеры использовали 281 домен и более 120 IP-адресов, принадлежащих 100 различным провайдерам. В сезон отпусков и зимних праздников соотношение доменов к IP-адресам резко увеличивалось.

Хакеры также изменяли вид вредоносного ПО, загружаемого с помощью дроппера. В мае 2015 года Pony распространял банковский троян Dyre, но уже через четыре месяца дроппер загружал на компьютеры жертв Vawtrak.

Исследователи также изучили способы сокрытия деятельности хакеров от правоохранителей и ИБ-экспертов на примере трояна Destover. Как выяснилось, при инфицировании ПК вредоносом злоумышленники используют две утилиты setMFT и afSET, позволяющие избежать обнаружения и расширить вектор атаки. В результате троян становится сложнее обнаружить – в большинстве случаев специалисты не могут обнаружить ни троян, ни дополнительное ПО.

Источник: securitylab.ru

Реклама
Запись опубликована в рубрике Report. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s