Get best of the week

Cylance vs Sality

Olá a todos. Antecipando o início do curso “Reverse Engineering 2.0” , outra tradução interessante foi preparada.



O Sality aterroriza os usuários de computador desde 2003, quando assistentes pessoais digitais (PDAs ou PDAs) chegaram às manchetes de publicações técnicas e PCs de escritório executando o Windows XP. Ao longo dos anos, os usuários conseguiram trocar seus PDAs por smartphones, e os computadores desktop mudaram para novos sistemas operacionais e soluções digitais para estações de trabalho. A salidade, no entanto, sobreviveu ao ritmo frenético da inovação tecnológica e continua a ameaçar as organizações até hoje.

O vírus Sality infecta executáveis ​​locais, mídia removível e unidades usadas remotamente. Ele cria uma botnet ponto a ponto (P2P) que facilita o download e a execução de outros malwares. Sality pode executar injeção de código malicioso e modificar seu ponto de entrada para forçar a execução do código. Esse malware permanece viável, adotando estratégias bem-sucedidas de outras ameaças, incluindo métodos como rootkit / backdoor, keylogging e distribuição semelhante a worms.

Análise da cadeia de ataque




Análise de Salidade


Nossa análise começa com uma captura de tela de um arquivo de serviço do Windows Defender infectado com código malicioso. Observe o código malicioso incorporado na última seção deste arquivo (Figura 1) :


Figura 1: A última linha mostra que o

executável de leitura / gravação Sality cria três cópias de si mesmo. A primeira cópia é salva na pasta %AppData%\local\temp\ (Figura 2) e incorporada no processo do explorer (Figura 3) :


Figura 2: A primeira cópia do Sality é salva na pasta %temp%com o nome xelag.exe


Figura 3: O processo malicioso é incorporado no processo do explorer ( xelag.exe)

A segunda cópia deste malware é salva na pasta %AppData%\local\temp\%random_folder_name%\com nome WinDefender.exe (figura 4) :


Figura 4. A segunda cópia do Sality com o nomeWinDefender.exe

A terceira cópia do Sality é armazenada na memória virtual do processo remoto na pasta %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Download_Manager.exe(Figura 5) :


Figura 5: A terceira cópia do Sality é salva com o nome Download_Manager.exe.

Para garantir a sustentabilidade, o Sality modifica o registro (Figura 6) :


Figura 6: Sality é gravada no registro.

Em seguida, o vírus tenta estabelecer uma conexão P2P para baixar malware adicional (Figura 7) :


Figura 7: A salidade se transforma em IP suspeito para obter mais malware.Quando

a vítima reinicia o computador, todas as três cópias do malware são incorporadas explorer.exe (Figura 8) :


Figura 8: Todas as três cópias do Sality são incorporadas no processo do explorer.

Por que a Sality é importante e por que devo me incomodar?


A Sality estreou no mesmo ano em que a Apple abriu a loja do iTunes, e os cinemas montaram uma bilheteria no King's Return. Ele continua sendo uma ameaça hoje. Apenas uma longevidade do vírus Sality é evidência de sua eficácia, adaptabilidade e adaptabilidade. Qualquer malware que ainda seja viável uma década e meia após sua detecção inicial não deve estar fora de vista dos usuários e profissionais de segurança.

Comparado com Nemucod, Sality é um exemplo de malware mais completo e maduro. Ele tem um longo histórico de mudanças que apontam para um conjunto diversificado de casos de uso, com a capacidade de implantar o Sality, dependendo dos objetivos e da complexidade do ataque. Comparando os recursos do Sality com as categorias das táticas MITRE ATT e CK, esse malware pode desempenhar um papel em todos os estágios internos da cadeia de ataques após a execução, o que significa que o Sality precisa de um método de entrega no ambiente antes de poder começar a trabalhar.

Se necessário, o Sality pode atuar como o principal agente operacional, fornecendo ao invasor um conjunto básico de funções para executar várias ações no alvo, visando manter e expandir o acesso. Ele também tem a capacidade de fazer o download modular de recursos adicionais, conforme necessário por um invasor. A flexibilidade oferecida por esse conjunto de recursos básicos torna o Sality adequado para uma ampla variedade de campanhas ofensivas.

A flexibilidade oferecida por malware comum, como o Sality, oferece aos invasores mais sofisticados a capacidade de ocultar a atividade e a intenção de um ataque direcionado, sob o disfarce de uma campanha ampla e indiscriminada. Um invasor pode usar os recursos do Sality na primeira onda de um ataque direcionado, estabelecendo uma posição no ambiente. Graças a esse acesso, um invasor pode abrir malware mais sofisticado ou destrutivo depois de estimar o risco operacional com base na posição defensiva do alvo.

Cylance Pára de Salidade


Os usuários do CylancePROTECT ficarão felizes em saber que detectamos e impedimos o Sality antes do lançamento. Ao impedir o lançamento do Sality, protegemos nossos clientes deste malware mastigativo e de muitas outras ameaças que ele procura implantar. A salidade pode ou não durar muito, mas não sobreviverá em máquinas protegidas pelo CylancePROTECT.


Obtenha um desconto no curso.

More articles:


All Articles