PDFSIDER kenkėjiška programa
„PDFSIDER“ yra kenkėjiška užkarda, skirta įsiskverbti į sistemas ir suteikti užpuolikams nuolatinę nuotolinę prieigą. Suaktyvėjusi ji apeina saugumo kontrolę, apsimesdama teisėtu failu ir naudodama techniką, vadinamą DLL šoniniu įkėlimu. Sėkmingai įsilaužus, kenkėjiška programa nedelsdama renka sistemos informaciją ir leidžia nuotoliniu būdu vykdyti komandas. Bet koks patvirtintas aptikimas reikalauja skubaus pašalinimo dėl kontrolės lygio, kurį ji suteikia grėsmių veikėjams.
Turinys
Slaptas veikimas per atmintį
Išskirtinis PDFSIDER bruožas yra jo gebėjimas veikti daugiausia sistemos atmintyje, todėl tradicinės saugos priemonės gali gerokai sumažinti jo matomumą. Paleidus jis tyliai sukuria paslėptus ryšio kanalus ir vykdo komandas per cmd.exe, nerodydamas jokių komandų langų. Šis metodas suteikia visišką nuotolinį valdymą, tuo pačiu sumažinant teismo ekspertizės pėdsakų skaičių diske.
Vykdžiusi komandą, kenkėjiška programa renka išsamią sistemos informaciją, sugeneruoja unikalų užkrėsto įrenginio identifikatorių ir perduoda surinktus duomenis bei komandos išvestį užpuolikams.
Šifruoti ryšiai ir antianalizės metodai
PDFSIDER naudoja stiprų šifravimą, kad paslėptų visą komandų ir valdymo srautą. Duomenys iššifruojami tik atmintyje ir niekada neįrašomi į diską, o tai dar labiau apsunkina aptikimą ir analizę. Kenkėjiška programa taip pat atlieka aplinkos patikrinimus, kad nustatytų, ar ji veikia testavimo, ar smėlio dėžės aplinkoje. Jei įtariama analizė, ji nutraukia savo veiklą, kad išvengtų užkrėtimo.
Operaciniai pajėgumai ir kenkėjiški tikslai
Dėl savo „backdoor“ funkcijos PDFSIDER palaiko platų kenkėjiškų veiklų spektrą, įskaitant:
- Neskelbtinų duomenų, tokių kaip dokumentai, kredencialai ir išsami sistemos informacija, vagystė
- Nuolatinis užkrėstų įrenginių stebėjimas ir galimas perkėlimas į kitas sistemas
Šios galimybės PDFSIDER pirmiausia pozicionuoja kaip šnipinėjimo ir ilgalaikio stebėjimo įrankį, leidžiantį užpuolikams tyliai išlaikyti prieigą ilgesnį laiką.
Tikslinė infekcija per DLL šoninį įkėlimą
Kenkėjiška programa platinama kruopščiai parengtais sukčiavimo el. laiškais, kurie apsimetinėja patikimais šaltiniais ir pateikia ZIP priedą. Archyve yra vykdomasis failas, apsimetantis teisėtos programos, vadinamos „PDF24 App“, diegimo programa. Paleidus programą, neatsiranda jokia matoma programa, tačiau vietoj teisėto sistemos failo įkeliamas kenkėjiškas DLL failas, saugomas kartu su vykdomuoju failu.
Šis piktnaudžiavimas DLL šoniniu įkėlimu leidžia PDFSIDER apeiti tam tikrus saugos mechanizmus ir sukelti infekciją neįspėjus vartotojo.
Nuolatinis ir pavojingas šnipinėjimo įrankis
„PDFSIDER“ – tai į slaptą veikimą orientuota galinė durų sistema, sukurta ilgalaikei prieigai. Dėl atminties rezidento elgesio, užšifruoto ryšio ir aplinkos suvokimo ji gali išlikti paslėpta, tuo pačiu išlaikant visišką pažeistų sistemų kontrolę. Šios savybės daro ją labai veiksminga priemone duomenų vagystėms, slaptam stebėjimui ir nuolatinėms kibernetinio šnipinėjimo operacijoms.
