Daxin: опасное вредоносное ПО, связанное с Китаем, которое практически невозможно обнаружить


Symantec заявила, что недавно обнаруженный Daxin демонстрирует невиданный ранее уровень сложности и уже некоторое время нацелен на правительства по всему миру.

istock-936338884-2.jpg
Изображение: Solarseven, Getty Pictures/iStockphoto

Команда Symantec Risk Hunter Crew сообщила об обнаружении новой вредоносной программы под названием Backdoor.Daxin, которая, по ее словам, связана с Китаем и «демонстрирует[s] техническая сложность, ранее невиданная такими актерами».

Daxin — это вредоносное ПО с бэкдором, которое позволяет своему контроллеру устанавливать дополнительное вредоносное ПО, имеет возможности сетевого туннелирования, может ретранслировать сообщения между зараженными узлами, может перехватывать законные TCP/IP-соединения и в остальном представляет собой невероятно сложный фрагмент кода.

Совсем недавно, в ноябре 2021 года, Daxin участвовал в атаках, связанных с китайскими субъектами, как правило, против целей, имеющих стратегическое значение для Китая. Он также был замечен в телекоммуникациях, на транспорте и в производственном секторе. К сожалению для тех, кто думает, что это новая угроза, которая еще не распространилась, это не так.

По словам Symantec, Daxin в той или иной форме существует примерно с 2013 года. Его возраст может проявляться в том, как он заражает свои цели, которые он маскирует под вредоносный драйвер ядра Home windows.

Одной из атак, которая, вероятно, была совершена из Китая с использованием Daxin, была атака в ноябре 2019 года на неназванную ИТ-компанию, в которой злоумышленники использовали другой китайский вредоносный инструмент под названием Owlproxy. В другом случае в мае 2020 года Daxin и установка Owlproxy были обнаружены на одном компьютере в другой неназванной технологической компании.

ВИДЕТЬ: Google Chrome: советы по безопасности и пользовательскому интерфейсу, которые вам нужно знать (ТехРеспублика Премиум)

Наконец, в июле 2020 года неудавшаяся атака на военный объект включала две попытки установить «подозрительный драйвер», прежде чем вернуться к трояну Emulov. Symantec не имеет однозначной связи с Китаем или Daxin, однако говорит, что поведение достаточно похоже, что предполагает причастность Daxin.

«Учитывая его возможности и характер развернутых атак, Daxin, по-видимому, оптимизирован для использования против защищенных целей, позволяя злоумышленникам проникать глубоко в сеть цели и эксфильтровать данные, не вызывая подозрений», — заявили в Symantec.

На что способен Даксин

Как упоминалось выше, Daxin — это сложная вредоносная программа, демонстрирующая серьезное мастерство со стороны ее разработчиков. Symantec описывает его как обладающего узким набором возможностей, но то, что он делает, он делает невероятно хорошо.

Возьмем, к примеру, то, как Daxin общается незаметно: он перехватывает сеансы TCP/IP. Daxin делает это, отслеживая трафик, ища определенные шаблоны, а затем отключая исходного получателя. Как только он захватывает трафик, он выполняет обмен ключами таким образом, что, по словам Symantec, он «может быть как инициатором, так и целью обмена ключами».

Этот метод позволяет Daxin обходить строгие правила брандмауэра, перехватывая законный трафик, а также сводит к минимуму вероятность того, что службы безопасности заметят какие-либо сетевые аномалии.

Говоря о связи, Daxin также может инкапсулировать необработанные сетевые пакеты таким образом, что любые отправленные ответные пакеты пересылаются злоумышленнику, что позволяет ему связываться с законными службами в сети зараженной машины.

Самой интересной особенностью Symantec называет способность Daxin выполнять переходы между несколькими зараженными узлами с помощью всего одной команды. Symantec заявила, что лазание по скомпрометированной сети является обычным явлением, но не одним действием; большинство злоумышленников переходят от узла к узлу по одной команде за раз.

Однако с Daxin «этот процесс представляет собой единую операцию, что позволяет предположить, что вредоносное ПО предназначено для атак на хорошо защищенные сети, где злоумышленникам может потребоваться периодически повторно подключаться к скомпрометированным компьютерам».

Есть ли способ защититься от Даксина?

Symantec мало говорит о том, как Daxin заражает свои цели, хотя сообщает, что его отчет о Daxin будет состоять из нескольких частей, которые могут содержать рекомендации по исправлению.

ВИДЕТЬ: Взлом пароля: почему поп-культура и пароли несовместимы (бесплатный PDF) (ТехРеспублика)

Основываясь на том, что Symantec указала в своих примерах, контроллеры Daxin могут напрямую взламывать сети с помощью таких инструментов, как PsExec (использовавшийся в случае 2019 года), а не распространять вредоносные документы и полагаться на то, что пользователи откроют их.

Имея это в виду, для обеспечения безопасности сетей от Daxin, вероятно, потребуется следовать известным передовым методам кибербезопасности, а также конкретным передовым методам для таких предприятий, как малые и средние предприятия, и для специализированных сетей, таких как IC, /IIoT и OT.

https://cyberxhack.org/