Cisco Talos Investigačný tím - Pozor na Zeus, ktorý odchytáva stlač...
Cisco Talos Investigačný tím - Pozor na Zeus, ktorý odchytáva stlačené klávesy
IOC je náznak, nie dôkaz.
Majte na pamäti, že vyhľadávanie IOC-Indicator of Compromise (Indikátor kompromitácie) je len jednou časťou z procesu pátrania po hrozbách. Zaznamenanie jedného IOC nemusí nevyhnutne znamenať infikáciu alebo prienik. Detekcia a pokrytie nasledujúcich hrozieb podlieha aktualizáciám, kým sa nevykoná dodatočná analýza hrozieb alebo zraniteľností. Najaktuálnejšie informácie nájdete v Centre riadenia Firepower, Snort.org alebo ClamAV.net.
Pre každú hrozbu opísanú nižšie je vytvorený zoznam pridružených súborov typu hash. Sprievodný súbor JSON, ktorý obsahuje úplný zoznam súborov hash ako aj všetky ostatné IOC z tohto príspevku. Nezabúdajte, že všetky IOC v tomto príspevku sú indikátory a jedno IOC neznamená hneď infikáciu alebo prienik.
Aktuálne zaregistrované hrozby:
- Win.Malware.Vobfus-6919817-0
Vobfus je červ, ktorý sa kopíruje na externé disky a pokúša sa automaticky spustiť svoj kód prostredníctvom súborov autorun.inf. Tiež upravuje databázu registry tak, že sa spustí pri bootovaní/štartovaní systému. Po nainštalovaní sa pokúsi prevziať následný malware zo svojich centrálnych uzlov (C2).
- Win.Malware.Barys-6919339-0
Barys je trójsky kôň a downloader infikovaných dát, ktorý umožňuje škodlivým klientom nahrať súbory do počítača obete.
- Win.Malware.Zbot/ZEUS-6919277-0
Zbot, tiež známy ako Zeus, je trójsky kôň, ktorý pomocou rôznych metód a procesov na pozadí kradne informácie, ako napríklad bankové poverenia. Pracuje na základe zaznamenávania stlačených klávesov alebo kradnutí prednastavených foriem v prehliadači (prihlasovacie formuláre s menom a heslom).
- Win.Malware.Autoit-6919193-0
Autoit je malware, ktorý využíva známy automatizačný nástroj AutoIT, ktorý je široko používaný správcami systému a administrátormi. AutoIT vystavuje bohatý skriptovací jazyk, ktorý umožňuje písať plne funkčný škodlivý softvér. Tento malware sa nainštaluje do systému a kontaktuje server C2 na získanie ďalších pokynov a príkazov.
- Win.Virus.Expiro-6918982-0
Expiro je známy infikátor súborov a dát a takisto aj zlodej informácii, ktorý je ťažko odhaliteľný a odstrániteľný.
- Win.Trojan.Winwebsec-6918829-0
Winwebsec je agresívny trójsky kôň, ktorý sa maskuje ako legitímny antivírusový softvér a upozorňuje používateľov na neexistujúce hrozby. Zakáže program Windows Defender a nástroj Obnovovanie systému Windows. Môže tiež blokovať používateľom prístup k webovým stránkam alebo programom, kým si nekúpia "antivírusový softvér".
- Win.Trojan.Emotet-6918815-0
Emotet je dnes jednou z najrozšírenejších a najaktívnejších skupín malware. Je to vysoko modulárna hrozba, ktorá predstavuje možnú širokú škálu zaťažení. Emotet sa bežne dodáva prostredníctvom dokumentov balíka Microsoft Office s makrami, ktoré sa odosielajú ako prílohy na škodlivé e-maily.
Čo by vás ochránilo?
Prehľad Cisco nástrojov ktoré by vás ochránili pred útokmi.
- Advanced Malware Protection (AMP) = pprevencia spustenia vírusu (malvéru / škodlivého obsahu)
- Cisco Cloud Web Security (CWS) +Web Security Appliance (WSA) =webové skenovanie detekuje malware na webstránkach
- Email Security =blokuje emaily s vírusmi (malvérom)
- Network Security nástroje Next-Generation Firewall (NGFW), Next-Generation Intrusion Prevention System (NGIPS), a Meraki MX =deketuje malware naprieč sieťovou infrašktruktúrou
- Threat Grid = pomáha identifikovať vírusy a buduje komplexnú cisco security ochranu
- Umbrella =blokuje IP adresy a URL adresy, ktoré maju nebezpečný obsah
SKÚSTE SI TRIAL ZADARMO
*(SIG – Secure internet gateway), blokuje prístup užívateľov k doménam a IP adresám so škodlivým obsahom, bez ohľadu na to, či sa užívateľ nachádza vo firemnej sieti alebo mimo nej.