मॉड्यूलर मैलवेयर: आपका डेटा चुराने वाला नया चुपके हमला

• सुरक्षा

विज्ञापन

मैलवेयर सभी आकृति और आकारों में आता है। इसके अलावा, मालवेयर का परिष्कार पिछले कुछ वर्षों में काफी बढ़ा है। हमलावरों को एहसास होता है कि उनके दुर्भावनापूर्ण पैकेज के हर पहलू को एक ही पेलोड में फिट करने की कोशिश हमेशा सबसे कुशल तरीका नहीं है।

समय के साथ, मैलवेयर मॉड्यूलर हो गया है। यही है, कुछ मैलवेयर वेरिएंट विभिन्न मॉड्यूल का उपयोग करके बदल सकते हैं कि वे लक्ष्य प्रणाली को कैसे प्रभावित करते हैं। तो, मॉड्यूलर मैलवेयर क्या है और यह कैसे काम करता है?

मॉड्यूलर मैलवेयर क्या है?

मॉड्यूलर मैलवेयर एक उन्नत खतरा है जो विभिन्न चरणों में एक प्रणाली पर हमला करता है। सामने के दरवाजे के माध्यम से ब्लास्ट करने के बजाय, मॉड्यूलर मैलवेयर एक उपनिवेशक दृष्टिकोण लेता है।

यह केवल आवश्यक घटकों को पहले स्थापित करके करता है। फिर, एक धूमधाम पैदा करने और उपयोगकर्ताओं को इसकी उपस्थिति के प्रति सचेत करने के बजाय, पहला मॉड्यूल सिस्टम और नेटवर्क सुरक्षा को स्काउट करता है; प्रभारी कौन है, क्या सुरक्षा चल रही है, जहां मैलवेयर कमजोरियों का पता लगा सकते हैं, क्या कारनामे सफलता का सबसे अच्छा मौका है, और इसी तरह।

स्थानीय वातावरण को सफलतापूर्वक समाप्त करने के बाद, पहला चरण मैलवेयर मॉड्यूल अपने कमांड और कंट्रोल (C2) सर्वर के लिए घर डायल कर सकता है। C2 तब अतिरिक्त मैलवेयर मॉड्यूल के साथ आगे के निर्देश वापस भेज सकता है ताकि मैलवेयर जिस विशिष्ट वातावरण में काम कर रहा है, उसका लाभ उठा सके।

मालवेयर की तुलना में मॉड्यूलर मैलवेयर के कई लाभ हैं जो इसकी सभी कार्यक्षमता को एक एकल पेलोड में पैक करता है।

• मैलवेयर लेखक एंटीवायरस और अन्य सुरक्षा कार्यक्रमों से बचने के लिए मैलवेयर हस्ताक्षर को तेजी से बदल सकता है।
• मॉड्यूलर मैलवेयर विभिन्न प्रकार के वातावरणों के लिए व्यापक कार्यक्षमता की अनुमति देता है। उस में, लेखक विशिष्ट लक्ष्यों या वैकल्पिक रूप से, विशेष वातावरण में उपयोग के लिए विशिष्ट विशिष्ट मॉड्यूल पर प्रतिक्रिया कर सकते हैं।
• प्रारंभिक मॉड्यूल छोटे और कुछ हद तक आसान हैं।
• कई मैलवेयर मॉड्यूल के संयोजन से सुरक्षा शोधकर्ता अनुमान लगाते हैं कि आगे क्या होगा।

मॉड्यूलर मैलवेयर अचानक नया खतरा नहीं है। मैलवेयर डेवलपर्स ने लंबे समय तक मॉड्यूलर मैलवेयर प्रोग्राम का कुशल उपयोग किया है। अंतर यह है कि सुरक्षा शोधकर्ता स्थितियों की एक विस्तृत श्रृंखला में अधिक मॉड्यूलर मैलवेयर का सामना कर रहे हैं। शोधकर्ताओं ने भारी नेकुरस बोटनेट (ड्रिडेक्स और लॉकी रैंसमवेयर वेरिएंट के वितरण के लिए बदनाम) को मॉड्यूलर मालवेयर पेलोड वितरित किया है। (बॉटनेट क्या है, वैसे भी? एक बोटनेट क्या है और क्या आपका कंप्यूटर एक का हिस्सा है? एक बॉटनेट क्या है और क्या आपका कंप्यूटर एक का हिस्सा है? बॉटनेट्स मैलवेयर, रैंसमवेयर, स्पैम और बहुत कुछ का एक प्रमुख स्रोत हैं। लेकिन क्या है? एक बॉटनेट? वे कैसे अस्तित्व में आते हैं? कौन उन्हें नियंत्रित करता है? और हम उन्हें कैसे रोक सकते हैं? और पढ़ें

मॉड्यूलर मैलवेयर उदाहरण

कुछ बहुत ही दिलचस्प मॉड्यूलर मैलवेयर उदाहरण हैं। यहाँ आप पर विचार करने के लिए कुछ कर रहे हैं।

VPNFilter

VPNFilter एक हालिया मैलवेयर संस्करण है जो राउटर और इंटरनेट ऑफ थिंग्स (IoT) उपकरणों पर हमला करता है। मैलवेयर तीन चरणों में काम करता है।

पहला चरण मालवेयर चरण दो मॉड्यूल को डाउनलोड करने के लिए एक कमांड और कंट्रोल सर्वर से संपर्क करता है। दूसरा चरण मॉड्यूल डेटा एकत्र करता है, कमांड निष्पादित करता है, और डिवाइस प्रबंधन ("ईंट" एक राउटर, IoT या NAS डिवाइस की क्षमता सहित) के साथ हस्तक्षेप कर सकता है। दूसरा चरण तीसरे चरण के मॉड्यूल को भी डाउनलोड कर सकता है, जो दूसरे चरण के प्लगइन्स की तरह काम करता है। चरण तीन मॉड्यूल में SCADA ट्रैफ़िक के लिए एक पैकेट स्निफ़र, एक पैकेट इंजेक्शन मॉड्यूल और एक मॉड्यूल शामिल है जो Tor नेटवर्क का उपयोग करके चरण 2 मैलवेयर को संचार करने की अनुमति देता है।

आप VPNFilter के बारे में अधिक जान सकते हैं कि यह कहां से आया है, और इसे यहां कैसे स्पॉट किया जाए।

T9000

पालो ऑल्टो नेटवर्क सुरक्षा शोधकर्ताओं ने T9000 मैलवेयर (टर्मिनेटर या स्काईनेट से कोई संबंध नहीं है ... या यह है ?!) का खुलासा किया।

T9000 एक खुफिया और डेटा एकत्र करने का उपकरण है। एक बार स्थापित होने के बाद, T9000 एक हमलावर को "एन्क्रिप्टेड डेटा कैप्चर करता है, विशिष्ट एप्लिकेशन के स्क्रीनशॉट लेता है और विशेष रूप से स्काइप उपयोगकर्ताओं को लक्षित करता है, " साथ ही साथ Microsoft ऑफिस उत्पाद फ़ाइलों को भी। T9000 अलग-अलग मॉड्यूल के साथ आता है जिसे 24 विभिन्न सुरक्षा उत्पादों से बचने के लिए डिज़ाइन किया गया है, इसकी स्थापना प्रक्रिया को रडार के नीचे बने रहने के लिए बदल दिया गया है।

DanaBot

DanaBot एक अलग-अलग प्लगइन्स के साथ एक मल्टी-स्टेज बैंकिंग ट्रोजन है जिसका उपयोग लेखक अपनी कार्यक्षमता को बढ़ाने के लिए करता है। (रिमोट एक्सेस ट्रोजन के साथ तेजी से और प्रभावी ढंग से कैसे निपटें। रिमोट एक्सेस ट्रोजन के साथ कैसे बस और प्रभावी ढंग से डील करें। रिमोट एक्सेस ट्रोजन के साथ कैसे और प्रभावी ढंग से डील करें? एक आरएटी को सूंघें? यदि आपको लगता है कि आप रिमोट एक्सेस ट्रोजन से संक्रमित हो गए हैं? आप इन सरल चरणों का पालन करके आसानी से छुटकारा पा सकते हैं। और पढ़ें) उदाहरण के लिए, मई 2018 में, DanaBot को ऑस्ट्रेलियाई बैंकों के खिलाफ हमलों की एक श्रृंखला में देखा गया था। उस समय, शोधकर्ताओं ने एक पैकेट सूँघने और इंजेक्शन प्लगइन, एक वीएनसी रिमोट देखने का प्लगइन, एक डेटा कटाई प्लगइन, और एक टो प्लगइन जो सुरक्षित संचार की अनुमति देता है, को उजागर किया।

"DanaBot एक बैंकिंग ट्रोजन है, जिसका अर्थ है कि यह आवश्यक रूप से एक हद तक भू-लक्षित है, " प्रूफ पॉइंट DanaBot ब्लॉग प्रविष्टि को पढ़ता है। "उच्च-मात्रा वाले अभिनेताओं द्वारा गोद लेने, हालांकि, जैसा कि हमने अमेरिकी अभियान में देखा था, मालवेयर में सक्रिय विकास, भौगोलिक विस्तार और चल रहे खतरे अभिनेता के सुझाव को दर्शाता है। मालवेयर में कई एंटी-एनालिसिस फीचर्स होते हैं, साथ ही अपडेटेड स्टीलर और रिमोट-कंट्रोल मॉड्यूल भी होते हैं, जिससे एक्टर्स को खतरा होता है।

माराप, एडवाइजर्सबोट, और कोबिन्ट

मैं एक खंड में तीन मॉड्यूलर मैलवेयर वेरिएंट को जोड़ रहा हूं, क्योंकि तीनों में खोजे गए प्रूफ पॉइंट के भयानक सुरक्षा शोधकर्ताओं ने। मॉड्यूलर मालवेयर वेरिएंट में समानताएं हैं, लेकिन इसके अलग-अलग उपयोग हैं। इसके अलावा, कोबाल्ट कोबाल्ट समूह के लिए एक अभियान का हिस्सा है, जो एक आपराधिक संगठन है जिसमें बैंकिंग और वित्तीय साइबर अपराध की लंबी सूची है।

माराप और एडवाइज़र्स दोनों को रक्षा और नेटवर्क मैपिंग के लिए लक्ष्य प्रणाली के लिए स्कूपिंग स्पॉट किया गया था, और क्या मैलवेयर को पूर्ण पेलोड डाउनलोड करना चाहिए। यदि लक्ष्य प्रणाली पर्याप्त रुचि की है (उदाहरण के लिए मान है), मैलवेयर हमले के दूसरे चरण के लिए कहता है।

अन्य मॉड्यूलर मालवेयर वेरिएंट की तरह, मारैप, एडवाइजर्सबोट और कोबिन तीन-चरण प्रवाह का पालन करते हैं। पहला चरण आम तौर पर एक संक्रमित लगाव के साथ एक ईमेल है जो प्रारंभिक शोषण करता है। यदि शोषण निष्पादित होता है, तो मैलवेयर तुरंत दूसरे चरण का अनुरोध करता है। दूसरा चरण टोही मॉड्यूल को ले जाता है जो लक्ष्य प्रणाली के सुरक्षा उपायों और नेटवर्क परिदृश्य का आकलन करता है। यदि मैलवेयर समझता है कि सब कुछ उपयुक्त है, तो तीसरा और अंतिम मॉड्यूल डाउनलोड, मुख्य पेलोड सहित।

इसका प्रमाण

• Marap
• सलाहकारबोट (और पॉश एडवाइजर)
• CobIn

हाथापाई

हाथापाई थोड़ा पुराना मॉड्यूलर मैलवेयर वेरिएंट है, जो 2014 में पहली बार प्रकाश में आ रहा है। हालांकि, हाथापाई एक महान मॉड्यूलर मैलवेयर उदाहरण है। मैलवेयर, यैंडेक्स के सुरक्षा शोधकर्ताओं द्वारा खुला, लिनक्स और यूनिक्स वेब सर्वर को लक्षित करता है। यह एक दुर्भावनापूर्ण PHP स्क्रिप्ट के माध्यम से स्थापित होता है।

एक बार स्थापित होने पर, स्क्रिप्ट कई प्लगइन्स पर कॉल कर सकती है जो मैलवेयर के अंतिम उपयोग को परिभाषित करते हैं।

प्लगइन्स में एक जानवर बल पासवर्ड पटाखा शामिल है जो एफ़टीपी, वर्डप्रेस और जूमला खातों को लक्षित करता है, जो अन्य असुरक्षित सर्वरों की खोज करने के लिए एक वेब क्रॉलर है, और एक उपकरण जो हार्टलेड ओपनएसएलएल भेद्यता का शोषण करता है।

DiamondFox

हमारा अंतिम मॉड्यूलर मैलवेयर संस्करण भी सबसे पूर्ण में से एक है। यह भी कारणों में से एक के लिए सबसे अधिक चिंताजनक है।

कारण एक: डायमंडफॉक्स विभिन्न भूमिगत मंचों पर बिक्री के लिए एक मॉड्यूलर बॉटनेट है। संभावित साइबर अपराधियों को उन्नत आक्रमण क्षमताओं की एक विस्तृत श्रृंखला तक पहुंच प्राप्त करने के लिए डायमंडफॉक्स मॉड्यूलर बॉटनेट पैकेज खरीद सकते हैं। उपकरण नियमित रूप से अपडेट किया जाता है और, सभी अच्छी ऑनलाइन सेवाओं की तरह, व्यक्तिगत ग्राहक सहायता है। (इसमें परिवर्तन-लॉग भी है!)

कारण दो: डायमंडफॉक्स मॉड्यूलर बॉटनेट प्लगइन्स की एक सीमा के साथ आता है। इन्हें एक डैशबोर्ड के माध्यम से चालू और बंद किया जाता है जो स्मार्ट होम ऐप के रूप में जगह से बाहर नहीं होगा। प्लगइन्स में शामिल हैं जासूसी उपकरण, क्रेडेंशियल चुराने वाले उपकरण, डीडीओएस टूल्स, कीलॉगर, स्पैम मेलर्स और यहां तक ​​कि रैम स्क्रैपर।

चेतावनी: निम्नलिखित वीडियो में संगीत है जिसे आप आनंद ले सकते हैं या नहीं।

एक मॉड्यूलर मैलवेयर हमले को कैसे रोकें

वर्तमान समय में, कोई भी विशिष्ट उपकरण किसी विशिष्ट मॉड्यूलर मैलवेयर वैरिएंट से सुरक्षा नहीं करता है। इसके अलावा, कुछ मॉड्यूलर मालवेयर वेरिएंट का भौगोलिक दायरा सीमित है। उदाहरण के लिए, माराप, एडवाइजर्सबोट, और कोबिन्ट मुख्य रूप से रूस और सीआईएस देशों में पाए जाते हैं।

उस ने कहा, प्रूफपॉइंट शोधकर्ताओं ने बताया कि वर्तमान भौगोलिक सीमाओं के बावजूद, यदि अन्य अपराधी मॉड्यूलर मैलवेयर का उपयोग करके इस तरह के एक स्थापित आपराधिक संगठन को देखते हैं, तो अन्य निश्चित रूप से सूट का पालन करेंगे।

आपके सिस्टम पर मॉड्यूलर मैलवेयर कैसे आता है, इसके बारे में जागरूकता महत्वपूर्ण है। बहुसंख्यक संक्रमित ईमेल अटैचमेंट का उपयोग करते हैं, जिसमें आमतौर पर दुर्भावनापूर्ण VBA स्क्रिप्ट के साथ Microsoft Office दस्तावेज़ होता है। हमलावर इस विधि का उपयोग करते हैं क्योंकि लाखों संभावित लक्ष्यों को संक्रमित ईमेल भेजना आसान है। इसके अलावा, प्रारंभिक शोषण छोटा है और आसानी से एक कार्यालय फ़ाइल के रूप में प्रच्छन्न है।

हमेशा की तरह, सुनिश्चित करें कि आप अपने सिस्टम को अद्यतित रखते हैं, और मालवेयरबाइट्स प्रीमियम में निवेश करने पर विचार करते हैं - यह मालवेयरबाइट्स प्रीमियम में अपग्रेड करने के लिए 5 कारण हैं: हाँ, यह मालवेयरबायर्स प्रीमियम में अपग्रेड करने के लिए 5 कारण हैं: हाँ, यह इसके लायक है जबकि मालवेयरबाइट का मुफ्त संस्करण भयानक है, प्रीमियम संस्करण में उपयोगी और सार्थक सुविधाओं का एक समूह है। अधिक पढ़ें !

अधिक के बारे में अन्वेषण करें: जारगॉन, मालवेयर, मॉड्यूलर मैलवेयर, ट्रोजन हॉर्स।