Hallo GT! Der Zoo aller Arten von Viren wächst jedes Jahr, der Vorteil der Fantasie besteht darin, ihre Schöpfer nicht zu beschäftigen. Natürlich können Antivirenprogramme eine Reihe der häufigsten Malware erfolgreich bewältigen, darüber hinaus sogar ihre kostenlosen Versionen oder die im Betriebssystem selbst integrierten. Wir haben zumindest gelernt, wie man mit beliebter Ransomware umgeht (auf den Websites bekannter Antiviren-Unternehmen gibt es einen Abschnitt mit Diensten zum Entschlüsseln oder Generieren von Code, wenn Sie eine Brieftasche oder E-Mail kennen, an die die Autoren der Malware Geld überweisen möchten).
Gewöhnliche Viren hinterlassen Spuren auf dem infizierten Computer - einige verdächtige ausführbare Dateien, Bibliotheksdateien oder nur Teile von Schadcode, die das Antivirenprogramm oder der richtige Administrator erkennen kann. Das Auffinden und Identifizieren solcher Spuren hilft, das Virus zu identifizieren, was bedeutet, es zu entfernen und die Konsequenzen zu minimieren.
Aber der Gegensatz von Schwert und Schild ist eine ewige Sache, und Computer-Malware ist nicht auf diejenigen beschränkt, die Spuren auf den Laufwerken hinterlassen. Befindet sich der Virus und wirkt nur im RAM, ohne die Festplatte oder die SSD zu berühren, hinterlässt er auch keine Spuren davon.
Im Jahr 2014 gab es eine Reihe von Neuigkeiten über die sogenannte RAM-Malware, die dann jedoch zu einer eher engen Gruppe betroffener Geräte gehörte - zu Zahlungsterminals.
Transaktionsdaten gelten als geschützt, da sie verschlüsselt auf den Servern von Zahlungssystemen gespeichert werden. Es gibt jedoch einen sehr kurzen Zeitraum, in dem Informationen zur Autorisierung der Zahlung im Klartext gespeichert werden. Darüber hinaus wird es im RAM des Zahlungsterminals gespeichert.
Natürlich schien dieses Stück zu lecker für Hacker, um einfach vorbeizukommen, und Malware kam auf die Welt und sammelte Informationen von RAM-POS-Terminals - Kartennummern, Adressen, Sicherheitscodes und Benutzernamen.
Und dann beschloss jemand, weiter zu gehen und sich daran zu erinnern, dass Computer auch RAM haben.
Nur RAM
Im Februar 2017 veröffentlichte Kaspersky Lab einen Bericht, der besagt, dass solche Malware Computer in Telekommunikationsunternehmen, Banken und Regierungsbehörden in 40 Ländern infiziert.
Wie ist die Infektion der Maschine in diesem Fall:
- Die Malware registriert sich direkt im RAM und umgeht Festplatten
- Aus diesem Grund kann es während einer Sicherheitsüberprüfung nicht erkannt werden
- Um die Malware im Speicher zu registrieren, verwendeten die Angreifer beliebte Verwaltungstools - PowerShell, Mimikatz, Metasploit
- Für die Datenübertragung wurden Websites verwendet, die in den nationalen Domänen von Ländern wie Gabun, der Zentralafrikanischen Republik und Mali erstellt wurden. Ihre Domains zeichnen sich dadurch aus, dass sie nach Ablauf der Verlängerungsfrist keine WHOIS-Informationen darüber speichern, wem eine bestimmte Domain gehört. Das heißt, ein weiteres Minus ist eine Gelegenheit, den Angreifer irgendwie zu verfolgen.
Cyberkriminelle konnten Daten zu den Anmeldungen und Kennwörtern von Systemadministratoren sammeln, wodurch es möglich wurde, künftig einen infizierten Host zu verwalten. Und es ist klar, dass Sie mit dieser Fähigkeit, den infizierten Computer zu kontrollieren, viele der nicht legitimsten Aktionen ausführen können, aber die Hauptrichtung solcher Angriffe ist das „Melken“ von Geldautomaten.
Es ist schwierig, solche Viren zu finden, weil sie in ihrer üblichen Form wirklich keine Spuren hinterlassen. Es sind keine Anwendungen installiert. Es gibt keine separaten Dateien, die in verschiedenen Ordnern verteilt sind, einschließlich Systemdateien oder versteckten.
Aber wo hinterlassen sie irgendwo Spuren?
Wenn der Virus keine Spuren auf den Laufwerken hinterlässt, macht es natürlich keinen Sinn, nach ihnen zu suchen. Und was dann? Das ist richtig - die Registrierung, Speicherabbilder und Netzwerkaktivität. Er muss sich irgendwie im Speicher registrieren (und so, dass er auch nach dem Neustart des Computers funktionsfähig bleibt) und die Daten dann irgendwie auf den Server des Angreifers übertragen.
Die Spezialisten von Kaspersky Lab analysierten sorgfältig Speicherabbilder und Registrierungseinträge von infizierten Computern und konnten den Angriff mithilfe von Mimikatz und Meterpreter rekonstruieren.
Ein Codeausschnitt, der mit Meterpreter von adobeupdates.sytes [.] Net heruntergeladen wurdeEin vom Metasploit-Framework generiertes Skript.
Weist die erforderliche Speichermenge zu, verwendet WinAPI und lädt das Meterpreter-Dienstprogramm direkt in den RAM.Lohnt es sich zu fürchten?
Einerseits - sicherlich ja. Der Virus, wie auch immer er sein mag, zielt nicht darauf ab, die Arbeit Ihres Computers komfortabler zu gestalten.
Andererseits ist es nicht so stark (und doch nicht so stark) wie gewöhnliche Viren und dieselbe Ransomware. Schon allein deshalb, weil das Hauptziel solcher Angriffe derzeit Finanzinstitute und keine gewöhnlichen Nutzer sind.
Aber wer weiß, wie oft solche Malware in naher Zukunft erstellt und verwendet wird.
Wir erinnern Sie daran, dass der Frühling eine großartige Gelegenheit ist, nicht nur über Flugblätter auf Bäumen, sondern auch über Systemeinheiten unter Ihrem Schreibtisch informiert zu werden. Speziell dafür hat Kingston Werbeaktionen in Partnergeschäften. Im DNS-Netzwerk können Sie beispielsweise bis zum 15. April Kingston SO-DIMM RAM mit einem Rabatt kaufen. Die Details finden Sie
hier . In Yulmart findet eine
Aktion bis zum 18. April statt und es gibt Sonderpreise für Kingston- und HyperX-Speichermodule für Computer und Laptops, die den
KINGMEM-Aktionscode verwenden. In Citylink-Filialen gelten bis zum 7. April
Rabatte für mehrere RAM-Typen gleichzeitig. Dort ist es auch wichtig, den
Aktionscode DDR3HX einzugeben . Es ist also sinnvoll, nach einem neuen Speicher zu suchen und profitabel zu aktualisieren.
Weitere Informationen zu Kingston- und HyperX-Produkten finden Sie auf
der offiziellen
Website des Unternehmens .