Bonjour GT! Le zoo de toutes sortes de virus s'agrandit chaque année, le bénéfice de l'imagination n'est pas d'occuper leurs créateurs. Bien sûr, les antivirus réussissent à gérer un certain nombre des logiciels malveillants les plus courants, en outre, même leurs versions gratuites ou celles intégrées dans le système d'exploitation lui-même. Nous avons appris à gérer les ransomwares populaires à tout le moins (sur les sites Web de sociétés anti-virus bien connues, il existe une section avec des services de décryptage ou de génération de code, si vous connaissez un portefeuille ou un e-mail vers lequel les auteurs du malware demandent de transférer des fonds).
Les virus ordinaires laissent des traces sur la machine infectée - certains fichiers exécutables suspects, des fichiers de bibliothèque ou juste des morceaux de code malveillant que l'antivirus ou le bon administrateur peuvent détecter. La recherche et l'identification de telles traces permettent d'identifier le virus, ce qui signifie de le supprimer et de minimiser les conséquences.
Mais l'opposition de l'épée et du bouclier est une chose éternelle, et les logiciels malveillants informatiques ne se limitent pas à ceux qui laissent des traces sur les disques. En effet, si le virus est localisé et n'agit qu'à l'intérieur de la RAM, sans toucher le disque dur ou le SSD, il n'en laissera pas non plus de traces.
En 2014, il y a eu une série de nouvelles sur le soi-disant malware RAM, mais il appartenait alors à un groupe assez restreint d'appareils affectés - aux terminaux de paiement.
Les données de transaction sont considérées comme protégées, car elles sont stockées sous forme cryptée sur les serveurs des systèmes de paiement. Mais il y a une très courte période de temps pendant laquelle les informations pour l'autorisation de paiement sont stockées en texte brut. De plus, il est stocké dans la RAM du terminal de paiement.
Bien sûr, pour les pirates, cette pièce semblait trop savoureuse pour passer, et des logiciels malveillants ont vu le jour, collectant des informations à partir de terminaux RAM POS - numéros de carte, adresses, codes de sécurité et noms d'utilisateur.
Et puis quelqu'un a décidé d'aller plus loin, en se rappelant que les ordinateurs ont aussi de la RAM.
RAM uniquement
En février 2017, Kaspersky Lab a publié un rapport indiquant que ces logiciels malveillants infectaient les ordinateurs des entreprises de télécommunications, des banques et des agences gouvernementales dans 40 pays.
Comment est l'infection de la machine dans ce cas:
- le malware s'enregistre directement dans la RAM, contournant les disques durs
- pour cette raison, lors d'un contrôle de sécurité, il ne peut pas être détecté
- pour enregistrer le malware dans la mémoire, les attaquants ont utilisé des outils d'administration populaires - PowerShell, Mimikatz, Metasploit
- Pour le transfert de données, des sites créés sur les domaines nationaux de pays comme le Gabon, la République centrafricaine et le Mali ont été utilisés. Leurs domaines sont caractérisés en ce qu'ils ne sauvegardent pas les informations WHOIS sur qui possédait un domaine particulier après l'expiration de sa période de renouvellement. Autrement dit, un autre inconvénient est une occasion de suivre en quelque sorte l'attaquant.
Les cybercriminels ont réussi à collecter des données sur les identifiants et les mots de passe des administrateurs système, ce qui a permis d'administrer un hôte infecté à l'avenir. Et il est clair qu'avec cette capacité de contrôler l'ordinateur infecté, vous pouvez faire beaucoup d'actions non légitimes, mais la principale direction de ces attaques est la «traite» des distributeurs automatiques de billets.
Il est difficile de trouver de tels virus, car sous leur forme habituelle, ils ne laissent vraiment aucune trace. Il n'y a aucune application installée. Il n'y a pas de fichiers séparés dispersés dans différents dossiers, y compris les fichiers système ou cachés.
Mais où laissent-ils des traces quelque part?
Bien sûr, si le virus ne laisse aucune trace sur les disques, il est inutile de les rechercher. Et puis quoi? C'est vrai - le registre, les vidages de mémoire et l'activité réseau. Il lui est nécessaire de s'enregistrer en quelque sorte en mémoire (et de manière à rester opérationnel même après le redémarrage de la machine), puis de transférer les données sur le serveur de l'attaquant.
Les experts de Kaspersky Lab ont soigneusement analysé les vidages de mémoire et les entrées de registre des machines infectées, et en utilisant Mimikatz et Meterpreter, ils ont pu reconstruire l'attaque.
Un extrait de code téléchargé à l'aide de Meterpreter depuis adobeupdates.sytes [.] NetUn script généré par le framework Metasploit.
Alloue la quantité de mémoire requise, utilise WinAPI et charge l'utilitaire Meterpreter directement dans la RAM.Vaut-il la peine de craindre
D'une part - certainement oui. Le virus, quel qu'il soit, ne vise pas à rendre votre ordinateur plus confortable.
D'un autre côté, il n'est pas aussi puissant (mais pas aussi puissant) que les virus ordinaires et les mêmes ransomwares. Ne serait-ce que parce qu'à l'heure actuelle, le principal objectif de ces attaques est les institutions financières et non les utilisateurs ordinaires.
Mais qui sait à quelle fréquence ces logiciels malveillants seront créés et utilisés dans un avenir proche.
Nous vous rappelons que le printemps est une excellente occasion d'être mis à jour non seulement sur les dépliants sur les arbres, mais également sur les unités centrales sous votre bureau. Surtout pour cela, Kingston propose des promotions dans les magasins partenaires. Par exemple, dans le réseau DNS jusqu'au 15 avril, vous pouvez acheter une RAM SO-DIMM Kingston à prix réduit, les détails sont
ici . Dans Yulmart, une
action se déroule jusqu'au 18 avril et il existe des prix spéciaux pour les modules de mémoire Kingston et HyperX pour ordinateurs et ordinateurs portables utilisant le code promotionnel
KINGMEM . Et dans les magasins Citylink jusqu'au 7 avril, des
remises s'appliquent à plusieurs types de RAM à la fois, et là, il est également important de se rappeler d'entrer le code promotionnel -
DDR3HX . Il est donc logique de se précipiter pour une nouvelle mémoire et de la mettre à niveau de manière rentable.
Pour plus d'informations sur les produits Kingston et HyperX, visitez
le site
officiel de l'entreprise .