So verhindern Sie, dass Rootkit-fähige Malware Scranos Ihrem Unternehmen Schaden zufügt

Wie sich die Malware-Landschaft entwickelt Wir haben immer noch eine große Anzahl von Hacks und Malware, die durch Phishing und ältere "Tricks" entstehen, sagt Franc Artes, Architekt für Sicherheitsgeschäfte bei Cisco.

Rookit-Malware ist eine der herausforderndsten und beständigsten Bedrohungen für Unternehmen und Einzelpersonen. Eine kürzlich als Scranos bezeichnete Bedrohung ist laut einem Bericht von Bitdefender vom Dienstag auf dem Radar von Sicherheitsexperten, da sie weltweit expandiert hat.

Mehr zur Cybersicherheit

  • Cybersicherheit im Jahr 2020: Acht erschreckende Vorhersagen
  • Die 10 wichtigsten Cyberangriffe des Jahrzehnts
  • So werden Sie ein Cybersicherheitsprofi: Ein Spickzettel
  • Berühmter Betrüger Frank Abagnale: Kriminalität ist heute 4.000 Mal einfacher

Scranos wurde Ende letzten Jahres erstmals von Bitdefender analysiert und verwendet einen Rootkit-Treiber, der mit einem möglicherweise gestohlenen Zertifikat signiert ist, um Passwörter und Daten zu stehlen. Bis vor kurzem beschränkte Scranos seinen Anwendungsbereich hauptsächlich auf chinesisches Territorium, reiste jedoch seit kurzem um die Welt. Derzeit scheint der Schwerpunkt in bestimmten Ländern, darunter Indien, Rumänien, Brasilien, Frankreich, Italien und Indonesien, laut dem Bericht vorherrschend zu sein.

Scranos tarnt sich als geknackte Software oder Apps, die sich als legitime Programme erweisen, wie E-Book-Reader, Videoplayer, Treiber und sogar Sicherheitsprodukte. Bei der Ausführung wird ein Rootkit-Treiber installiert, um die Malware auszublenden. Scranos kontaktiert dann die Kommando- und Kontrollzentren, um den Download anderer Komponenten auszulösen. Die Malware wurde in allen Windows-Versionen erkannt, einschließlich 10, 8.1, 8, 7, Vista und XP mit den größten Zahlen in Windows 10 und 7.

Die von Bitdefender gesammelten Scranos-Beispiele stammen aus dem November 2018, mit einem Anstieg im Dezember 2018 und Januar 2019. Im März begannen die C & C-Zentren jedoch mit der Bereitstellung anderer Malware-Stämme, was darauf hinweist, dass das Netzwerk jetzt mit Drittanbietern für Pay-per zusammenarbeitet Schemata installieren.

"Trotz der Raffinesse sieht dieser Angriff wie eine laufende Arbeit aus, mit vielen Komponenten in der frühen Entwicklungsphase", sagte Bitdefender in seinem Bericht. "Obwohl die Kampagne noch nicht das Ausmaß der Zacinlo-Adware-Kampagne erreicht hat, infiziert sie bereits Benutzer weltweit."

Scranos kann eine Reihe von böswilligen Aufgaben ausführen, darunter die folgenden, wie im Bericht angegeben:

  • Extrahieren Sie Cookies und stehlen Sie Anmeldeinformationen aus Google Chrome, Mozilla Firefox, Opera, Microsoft Edge, Internet Explorer und anderen Browsern
  • Stehlen Sie die Zahlungskonten eines Benutzers von Facebook, Amazon und Airbnb
  • Senden Sie Freundschaftsanfragen über das Facebook-Konto des Benutzers an andere Konten
  • Senden Sie Phishing-Nachrichten mit böswilligen APKs an die Facebook-Freunde der Benutzer, um Android-Geräte zu infizieren
  • Stehlen Sie Anmeldeinformationen für das Steam-Konto des Benutzers
  • Injizieren Sie JavaScript-Adware in Internet Explorer
  • Installieren Sie Erweiterungen für Chrome und Opera, um JavaScript-Adware einzufügen
  • Erfassen Sie den Browserverlauf des Benutzers
  • Anzeigen oder stummgeschaltete YouTube-Videos für Chrome-Nutzer stillschweigend anzeigen oder sogar Chrome installieren, falls es noch nicht installiert ist
  • Abonniere Nutzer für YouTube-Videokanäle
  • Laden Sie alle Nutzdaten herunter und führen Sie sie aus

Die digitale Signatur des Rootkit-Treibers zeigt Yun Yu Health Management Consulting (Shanghai) Co. als Emittenten. Bitdefender teilte der Zertifizierungsstelle mit, dass dieses Zertifikat entweder kompromittiert oder missbraucht wurde. Zu diesem Zeitpunkt wurde das Zertifikat jedoch nicht widerrufen.

So erkennen und entfernen Sie Rootkit-Bedrohungen

Rootkit-Bedrohungen sind invasiv und dauerhaft. Daher sind in der Regel spezielle Schritte erforderlich, um sie zu erkennen und zu entfernen. Scranos können entfernt werden, aber der Prozess ist kompliziert. Im Folgenden finden Sie die Schritte von Bitdefender zum Entfernen von Scranos auf einem Windows-Computer:

  1. Schließen Sie Ihren Browser oder Ihre Browser.
  2. Beenden Sie alle Prozesse, die vom temporären Pfad ausgeführt werden. Entfernen Sie alle als bösartig erkannten Dateien.
  3. Beenden Sie den Prozess rundll32.exe.
  4. Generieren Sie den Namen der Rootkit-Datei wie folgt:
    - Holen Sie sich die SID des aktuellen Benutzers.
    - Berechnen Sie MD5 der Zeichenfolge aus a).
    - Holen Sie sich die ersten 12 Zeichen aus b)
  5. Führen Sie ein Cmd- oder PowerShell-Fenster mit Administratorrechten aus und geben Sie Folgendes ein:
    > sc stop > sc löschen
  6. Gehen Sie zu% WINDIR% \ System32 \ drivers, suchen Sie nach einer Datei mit dem Namen .sys und löschen Sie diese Datei.
  7. Entfernen Sie den DNS-Treiber (unten sollte MOIYZBWQSO durch Ihren speziellen Treibernamen ersetzt werden):
    - Überprüfen Sie, ob der DNS-Treiber installiert ist: In % TEMP% sollte eine Datei mit 10 zufälligen Großbuchstaben sein ( z. B. MOIYZBWQSO. Sys ). In der Registrierung sollte sich auch ein Schlüssel befinden, der dem Namen entspricht (z. B. HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ MOIYZBWQSO ).
    - Führen Sie ein Cmd- oder PowerShell- Fenster mit Administratorrechten aus und geben Sie Folgendes ein:
    sc stop MOIYZBWQSO
    sc MOIYZBWQSO löschen
    - Löschen Sie die Datei % TEMP% \ MOIYZBWQSO.sys
  8. Starten Sie Ihren PC neu, um den injizierten Code aus dem Prozess svchost.exe zu entfernen.
  9. Entfernen Sie verdächtige Erweiterungen aus Ihren Browsern.
  10. Ändern Sie alle Ihre Passwörter.

Weitere Informationen finden Sie unter So überprüfen Sie Ihre Linux-Server auf Rootkits und Malware in TechRepublic.

Cybersecurity Insider Newsletter

Stärken Sie die IT-Sicherheitsabwehr Ihres Unternehmens, indem Sie sich über die neuesten Nachrichten, Lösungen und Best Practices zur Cybersicherheit auf dem Laufenden halten. Lieferung dienstags und donnerstags

Heute anmelden

© Copyright 2021 | mobilegn.com