Get best of the week

Cylance vs Sality

Hallo alle zusammen. Im Vorfeld des Kursbeginns „Reverse Engineering 2.0“ wurde eine weitere interessante Übersetzung vorbereitet.



Sality terrorisiert Computerbenutzer seit 2003, als persönliche digitale Assistenten (PDAs oder PDAs) Schlagzeilen für technische Veröffentlichungen machten und auf Office-PCs Windows XP ausgeführt wurde. Im Laufe der Jahre gelang es den Benutzern, ihre PDAs gegen Smartphones auszutauschen, und Desktop-Computer wechselten zu neuen Betriebssystemen und digitalen Lösungen für Workstations. Sality hat jedoch das rasende Tempo der technologischen Innovation überstanden und bedroht Unternehmen bis heute.

Der Sality-Virus infiziert lokale ausführbare Dateien, Wechselmedien und remote verwendete Laufwerke. Es wird ein Peer-to-Peer-Botnetz (P2P) erstellt, das das Herunterladen und Ausführen anderer Malware erleichtert. Sality kann böswilligen Code einfügen und seinen Einstiegspunkt ändern, um die Codeausführung zu erzwingen. Diese Malware bleibt lebensfähig und übernimmt erfolgreiche Strategien für andere Bedrohungen, einschließlich Methoden wie Rootkit / Backdoor, Keylogging und wurmartige Verteilung.

Angriffskettenanalyse




Sality-Analyse


Unsere Analyse beginnt mit einem Screenshot einer Windows Defender-Dienstdatei, die mit bösartigem Code infiziert ist. Beachten Sie den im letzten Abschnitt dieser Datei eingebetteten Schadcode (Abbildung 1) :


Abbildung 1: Die letzte Zeile zeigt, dass die

ausführbare Lese- / Schreibdatei Sality drei Kopien von sich selbst erstellt. Die erste Kopie wird im Ordner gespeichert %AppData%\local\temp\ (Abbildung 2) und in den Explorer-Prozess eingebettet (Abbildung 3) :


Abbildung 2: Die erste Kopie von Sality wird im Ordner %temp%mit dem Namen gespeichert. xelag.exe


Abbildung 3: Der böswillige Prozess wird in den Explorer-Prozess eingebettet ( xelag.exe).

Die zweite Kopie dieser Malware wird im Ordner %AppData%\local\temp\%random_folder_name%\mit gespeichert Name WinDefender.exe (Abbildung 4) :


Abbildung 4. Die zweite Kopie von Sality mit dem NamenWinDefender.exe

Die dritte Kopie von Sality wird im virtuellen Speicher des Remote-Prozesses im Ordner gespeichert %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Download_Manager.exe(Abbildung 5) :


Abbildung 5: Die dritte Kopie von Sality wird mit dem Namen gespeichert Download_Manager.exe.

Um Nachhaltigkeit zu gewährleisten, ändert Sality die Registrierung (Abbildung 6) :


Abbildung 6: Sality wird in die Registrierung geschrieben.

Anschließend versucht der Virus, eine P2P-Verbindung herzustellen, um zusätzliche Malware herunterzuladen (Abbildung 7) :


Abbildung 7: Sality verwendet verdächtige IP-Adresse, um mehr Malware zu erhalten.

Wenn das Opfer den Computer neu startet, sind alle drei Kopien der Malware eingebettet explorer.exe (Abbildung 8) :


Abbildung 8: Alle drei Kopien von Sality sind in den Explorer-Prozess eingebettet.

Warum ist Sality wichtig und warum sollte ich gestört werden?


Sality feierte sein Debüt im selben Jahr, als Apple den iTunes Store eröffnete und die Kinos bei King's Return eine Abendkasse zusammenstellten. Er bleibt heute eine Bedrohung. Nur eine Langlebigkeit des Sality-Virus ist ein Beweis für seine Wirksamkeit, Anpassungsfähigkeit und Anpassungsfähigkeit. Malware, die noch anderthalb Jahrzehnte nach ihrer ersten Erkennung funktionsfähig ist, sollte für Benutzer und Sicherheitsexperten nicht außer Sichtweite sein.

Im Vergleich zu NemucodSality ist ein vollständigeres und ausgereifteres Beispiel für Malware. Es gibt eine lange Geschichte von Änderungen, die auf eine Vielzahl von Anwendungsfällen hinweisen, wobei Sality je nach den Zielen und der Komplexität des Angriffs eingesetzt werden kann. Durch den Vergleich der Funktionen von Sality mit den Kategorien der MITRE ATT & CK-Taktik kann diese Malware nach der Ausführung in jeder internen Phase der Angriffskette eine Rolle spielen. Dies bedeutet, dass Sality eine Bereitstellungsmethode für die Umgebung benötigt, bevor sie funktionieren kann.

Bei Bedarf kann Sality als Hauptoperationsagent fungieren und dem Angreifer grundlegende Funktionen zum Ausführen verschiedener Aktionen für das Ziel bereitstellen, um den Zugriff aufrechtzuerhalten und zu erweitern. Es bietet auch die Möglichkeit, zusätzliche Funktionen nach Bedarf eines Angreifers modular herunterzuladen. Die Flexibilität dieser grundlegenden Funktionen macht Sality für eine Vielzahl von Offensivkampagnen geeignet.

Die Flexibilität, die gängige Malware wie Sality bietet, bietet anspruchsvolleren Angreifern die Möglichkeit, die Aktivität und Absicht eines gezielten Angriffs unter dem Deckmantel einer breiten, wahllosen Kampagne zu verbergen. Ein Angreifer kann die Fähigkeiten von Sality in der ersten Welle eines gezielten Angriffs nutzen und so in der Umgebung Fuß fassen. Dank dieses Zugriffs kann ein Angreifer komplexere oder zerstörerischere Malware öffnen, nachdem er das operationelle Risiko anhand der Verteidigungsposition des Ziels geschätzt hat.

Cylance stoppt Sality


Benutzer von CylancePROTECT werden sich freuen zu wissen, dass wir Sality erkennen und verhindern, bevor es gestartet wird. Indem wir die Einführung von Sality verhindern, schützen wir unsere Kunden vor dieser kaubaren Malware und vielen anderen Bedrohungen, die bereitgestellt werden sollen. Sality kann langlebig sein oder auch nicht, aber es überlebt nicht auf Maschinen, die durch CylancePROTECT geschützt sind.


Holen Sie sich einen Rabatt auf den Kurs.

More articles:


All Articles