Get best of the week

Cylance vs Sality

Halo semuanya. Untuk mengantisipasi dimulainya kursus "Rekayasa Balik 2.0" , terjemahan lain yang menarik disiapkan.



Sality telah meneror pengguna komputer sejak 2003, ketika asisten digital pribadi (PDA atau PDA) menjadi berita utama untuk publikasi teknis dan PC kantor menjalankan Windows XP. Selama bertahun-tahun, pengguna berhasil menukar PDA mereka dengan smartphone, dan komputer desktop beralih ke sistem operasi baru dan solusi digital untuk workstation. Sality, bagaimanapun, telah selamat dari langkah cepat inovasi teknologi dan terus mengancam organisasi sampai hari ini.

Virus Sality menginfeksi executable lokal, media yang dapat dilepas, dan drive yang digunakan dari jarak jauh. Ini menciptakan botnet peer-to-peer (P2P) yang memfasilitasi pengunduhan dan pelaksanaan malware lainnya. Sality dapat melakukan injeksi kode berbahaya dan memodifikasi titik masuknya untuk memaksa eksekusi kode. Malware ini tetap aktif, mengadopsi strategi yang berhasil dari ancaman lain, termasuk metode seperti rootkit / backdoor, keylogging dan distribusi seperti cacing.

Analisis rantai serangan




Analisis Salitas


Analisis kami dimulai dengan tangkapan layar file layanan Windows Defender yang terinfeksi kode berbahaya. Perhatikan kode berbahaya yang tertanam di bagian terakhir file ini (Gambar 1) :


Gambar 1: Baris terakhir menunjukkan

Sality yang dapat dieksekusi baca / tulis menghasilkan tiga salinan dari dirinya sendiri. Salinan pertama disimpan dalam folder %AppData%\local\temp\ (Gambar 2) dan disematkan dalam proses explorer (Gambar 3) :


Gambar 2: Salinan pertama Sality disimpan dalam folder %temp%dengan nama xelag.exe


Gambar 3: Proses berbahaya tertanam dalam proses explorer ( xelag.exe)

Salinan kedua malware ini disimpan dalam folder %AppData%\local\temp\%random_folder_name%\dengan nama WinDefender.exe (gambar 4) :


Gambar 4. Salinan kedua Sality dengan namaWinDefender.exe

Salinan ketiga Sality disimpan dalam memori virtual dari proses jarak jauh dalam folder %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Download_Manager.exe(Gambar 5) :


Gambar 5: Salinan ketiga Sality disimpan dengan nama Download_Manager.exe.

Untuk memastikan keberlanjutan, Sality memodifikasi registri (Gambar 6) :


Gambar 6: Sality ditulis ke registri.

Kemudian virus mencoba membuat koneksi P2P untuk mengunduh malware tambahan (Gambar 7) :


Gambar 7: Sality berubah menjadi IP yang mencurigakan untuk mendapatkan lebih banyak malware.

Ketika korban menyalakan kembali komputer, ketiga salinan malware tersebut tertanam di dalamnya explorer.exe (Gambar 8) :


Gambar 8: Ketiga salinan Sality tertanam dalam proses penjelajah.

Mengapa Sality penting dan mengapa saya harus diganggu?


Sality melakukan debut pada tahun yang sama ketika Apple membuka toko iTunes, dan bioskop mengangkat box office di King's Return. Dia tetap menjadi ancaman hari ini. Hanya satu umur panjang dari virus Sality adalah bukti efektivitas, kemampuan beradaptasi dan kemampuan beradaptasi. Malware apa pun yang masih dapat bertahan satu setengah dekade setelah deteksi awalnya tidak boleh diabaikan oleh pengguna dan profesional keamanan.

Dibandingkan dengan Nemucod, Sality adalah contoh malware yang lebih lengkap dan matang. Ini memiliki sejarah panjang perubahan yang mengarah ke beragam kasus penggunaan dengan kemampuan untuk menyebarkan Sality tergantung pada tujuan dan kompleksitas serangan. Membandingkan kemampuan Sality dengan kategori taktik MITER ATT & CK, malware ini dapat memainkan peran di setiap tahap internal rantai serangan setelah eksekusi, yang berarti bahwa Sality memerlukan metode pengiriman pada lingkungan sebelum dapat mulai bekerja.

Jika perlu, Sality dapat bertindak sebagai agen operasional utama, menyediakan penyerang dengan serangkaian fungsi dasar untuk melakukan berbagai tindakan pada target, yang bertujuan untuk mempertahankan dan memperluas akses. Ia juga memiliki kemampuan untuk mengunduh fitur tambahan modular seperti yang dibutuhkan oleh penyerang. Fleksibilitas yang ditawarkan oleh rangkaian fitur dasar ini membuat Sality cocok untuk berbagai kampanye ofensif.

Fleksibilitas yang diberikan oleh malware umum seperti Sality menawarkan penyerang yang lebih canggih kemampuan untuk menyembunyikan aktivitas dan maksud dari serangan yang ditargetkan dengan kedok kampanye yang luas, tanpa pandang bulu. Seorang penyerang dapat menggunakan kemampuan Sality di gelombang pertama serangan yang ditargetkan, membangun pijakan di lingkungan. Berkat akses ini, penyerang dapat membuka malware yang lebih canggih atau destruktif setelah ia memperkirakan risiko operasional berdasarkan posisi defensif target.

Cylance Menghentikan Sality


Pengguna CylancePROTECT akan senang mengetahui bahwa kami mendeteksi dan mencegah Sality sebelum diluncurkan. Dengan mencegah peluncuran Sality, kami melindungi pelanggan kami dari malware masticative ini dan banyak ancaman lain yang ingin digunakan. Sality mungkin lama atau tidak, tetapi tidak akan bertahan pada mesin yang dilindungi oleh CylancePROTECT.


Dapatkan diskon untuk kursus.

More articles:


All Articles