Get best of the week

Cylance vs Sality

大家好。预期将开始“逆向工程2.0”课程,因此准备了另一篇有趣的翻译。



自2003年以来,Sality一直在威胁计算机用户,当时个人数字助理(PDA或PDA)成为技术出版物的头条新闻,而办公PC正在运行Windows XP。多年来,用户设法将他们的PDA换成智能手机,而台式计算机切换到了新的操作系统和工作站数字解决方案。但是,Sality在技术创新的疯狂节奏中幸存下来,并一直威胁着组织发展到今天。

Sality病毒感染本地可执行文件,可移动媒体和远程使用的驱动器。它会创建一个对等(P2P)僵尸网络,以促进其他恶意软件的下载和执行。Sality可以执行恶意代码注入并修改其入口点以强制执行代码。该恶意软件仍然可行,可以采用其他威胁的成功策略,包括诸如rootkit / backdoor,keylogging和类似蠕虫的分发之类的方法。

攻击链分析




严重性分析


我们的分析从感染了恶意代码的Windows Defender服务文件的屏幕快照开始。请注意该文件最后一部分中嵌入的恶意代码(图1)


图1:最后一行显示了读/写

可执行文件Sality创建其自身的三个副本。第一个副本保存在文件夹中%AppData%\local\temp\ (图2),并嵌入在资源管理器进程中(图3)


图2:Sality的第一个副本%temp%以名称命名保存在文件夹中xelag.exe


:图3:恶意进程嵌入在资源管理器进程中(xelag.exe

该恶意软件的第二个副本保存在文件夹%AppData%\local\temp\%random_folder_name%\中名称WinDefender.exe (图4)


图4.具有名称的Sality的第二个副本具有名称的SalityWinDefender.exe

的第三副本存储在远程进程的虚拟内存中的文件夹中%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Download_Manager.exe(图5)


图5:以名称保存的Sality的第三副本Download_Manager.exe

为了确保可持续性,Sality修改了注册表(图6)


图6:Sality已写入注册表。

然后,病毒尝试建立P2P连接以下载其他恶意软件(图7)


图7:Sality转向可疑IP以获取更多恶意软件。

当受害者重新启动计算机时,恶意软件的所有三个副本都嵌入其中explorer.exe (图8)


图8:Sality的所有三个副本都嵌入在资源管理器过程中。

为什么Sality重要,为什么我应该打扰?


Sality在Apple开设iTunes商店的同一年首次亮相,电影院在King's Return放映了票房。今天他仍然是一个威胁。Sality病毒只有一种寿命可以证明其有效性,适应性和适应性。最初检测后仍能存活十五年的任何恶意软件都不应在用户和安全专业人员的视线范围内。

Nemucod相比,Sality是更完整和成熟的恶意软件示例。它具有很长的变更历史,这些变更指向各种用例,这些用例具有根据攻击的目标和复杂性来部署Sality的能力。将Sality的功能与MITER ATT和CK战术类别进行比较,该恶意软件在执行后能够在攻击链的每个内部阶段发挥作用,这意味着Sality需要在环境上采用一种交付方法,然后才能起作用。

必要时,Sality可以充当主要的操作代理,为攻击者提供一组基本功能,以针对目标执行各种操作,以维护和扩展访问权限。它还具有根据攻击者的需要模块化下载其他功能的功能。此基本功能集提供的灵活性使Sality适于广泛的进攻性活动。

诸如Sality之类的常见恶意软件提供的灵活性使更复杂的攻击者能够以广泛,不分青红皂白的活动为幌子隐藏目标攻击的活动和意图。攻击者可以在有针对性的攻击的第一波中使用Sality的功能,从而在环境中立足。借助此访问权限,攻击者可以根据目标的防御位置估算操作风险,从而可以打开更复杂或更具破坏性的恶意软件。

Cylance阻止Sality


CylancePROTECT 用户将很高兴知道我们在Sality启动之前已检测到并阻止了该功能。通过阻止Sality的发布,我们可以保护我们的客户免受这种咀嚼性恶意软件以及它试图部署的许多其他威胁的侵害。Sality可能长寿,也可能长寿,但是在CylancePROTECT保护的计算机上将无法生存。


获得该课程的折扣。

More articles:


All Articles