마이크로 소프트 전문가 이야기 Dexphot 악성 코드, 이는 가을 이후 Windows 시스템을 공격하고있다 2018. 유월 안에 2019, 악성 코드의 활동이 정점에 도달, 때보다 더 80,000 시스템은 봇넷의 피해자가되었다.
엔아야 전문가들은 Dexphot의 활동이 감소하고 있다고, 대책의 그들이 가지고 있기 때문에 포함.Dexphot의 주요 목표는 항상 운영자의 암호 화폐의 추출 및 농축하고있다. 하나, 악성 코드의 아주 일반적인 목표에도 불구하고, 연구진은 저자가 정교한 기술을 사용주의, 및 피해 자체는 그렇게 간단하지 않았다. 사실은 바이러스 제작자가 사용하는 기술의 대부분은 "정부의 해커"의 일을 공부 발견 될 가능성이 있다는 것입니다, 하지만 또 다른 광부.
"Dexphot 번째 수준이었다 페이, 그건, 그것은 이미 ICLoader 악성 코드에 감염된 컴퓨터를 감염, 이는 다양한 소프트웨어 패키지와 함께 시스템에 침투, 사용자가 다운로드 할 때 또는 "해킹 또는 소프트웨어를 불법 복제 설치된, – 마이크로 소프트의 말 정보 보안 전문가.
재미있게, Dexphot 설치 시간의 짧은 기간 동안 디스크에 기록 된 악성 코드의 일부에 불과했다. 다른 파일 및 운영을 위해, 사용 Dexphot fileless 공격 방법, 그건, 그것은 단지 컴퓨터의 메모리에 모든 것을 실행, 서명에 의존하는 전통적인 안티 바이러스 솔루션에 보이지 않는 시스템의 malvari의 존재를 만들기.
Dexphot도 사용 LOLbins (땅을 사는) 기술은 악성 코드를 실행하기 위해 합법적 인 Windows 프로세스를 사용하는, 오히려 자신의 실행 파일 및 프로세스를 시작하는 것보다. 예를 들면, 마이크로 소프트에 따르면, 악성 코드를 정기적으로 학대 msiexec.exe를, unzip.exe를, 에서 rundll32.exe, Schtasks.exe에와 powershell.exe를. 이러한 프로세스를 사용하여 악성 코드를 실행합니다, 또한 자신의 일을하는이 유틸리티를 사용하는 것이 Dexphot 실제로 다른 로컬 응용 프로그램과 구별된다.
게다가, Dexphot라는 기술을 사용 다형성.
"Dexphot 사업자는 모든 감염 과정에서 사용되는 파일 이름과 URL을 변경 20-30 의사록. 때에는 바이러스 용액은 Dexphot 감염 사슬 패턴을 감지, 후자는 변화시켰다. 그것은 "한 발 앞서 Dexphot 체류 허용, – 사이드 마이크로 소프트 전문가.
맬웨어는 영원히 주목있을 것 때문에, Dexphot 개발자는 알아서 한 시스템의 안정적인 현존기구. 악성 코드는 두 개의 합법적 인 프로세스를 실행하는 기술이라는 프로세스 공동화를 사용 (svchost.exe를하고 들어 nslookup.exe), 그 내용을 정리하고 자신의 가장하여 악성 코드를 실행. 이러한 구성 요소, 합법적 인 Windows 프로세스로 위장, 악성 코드의 모든 부분이하고 실행이라고 확인했다, 필요한 경우와 악성 코드를 다시 설치.
또한 읽기: 전문가는 그 패치 가드 보호를 우회 이용 의한 PoC를 생성
또한, 사용 Dexphot 예약 된 작업의 시리즈 (정기적으로 자신의 이름을 변경), 그래서 피해자가되었다 각 시스템 재부팅 또는 모든 후 파일없이 다시 감염 90 또는 110 의사록. 이 기능은 또한 가능한 정기적으로 감염된 모든 호스트에서 악성 코드를 업데이트했다. 아무튼, 작업의 모든 시간 일을 실시 하였다, 파일은 공격자의 서버에서 다운로드, 그리고 그들은을 변경할 수.
