![Cum se configurează replicarea MySQL (Master-Slave) în RHEL, CentOS, Fedora](/f/55576ff9a64a4ee952b08d74a03d6d77.jpg?width=100&height=100)
Infractorii cibernetici folosesc o nouă modalitate de a ocoli RAT-ul de detectare (troian cu acces la distanță) pentru a avea acces la fișierele stocate și la resursele computerului victimelor. RAT infectează sistemul atunci când un utilizator deschide un atașament de e-mail rău intenționat sau descarcă orice fișier de pe un site web sau o rețea peer to peer.
[dropcap] Criminalii [/ dropcap] utilizează accesul la distanță troian (RAT) timp de mulți ani pentru a obține acces la fișierele și resursele stocate, cum ar fi o cameră, un microfon etc. de pe computerul victimei. Tradiţional ŞOBOLAN infectează sistemul atunci când un utilizator deschide un atașament de e-mail rău intenționat sau descarcă orice fișier de pe un site web sau o rețea peer to peer. Ambele atacuri vectoriale implică utilizarea fișierelor pentru a descărca programe malware, astfel încât astfel de atacuri sunt detectate mai ușor.
Potrivit cercetătorilor companiei de securitate cibernetică
SentinelOne, infractorii cibernetici au început să folosească o nouă tehnică pentru a răspândi troienii acces la distanță pentru a ocoli soluțiile de securitate. Metoda folosită de atacatori le permite să descarce o sarcină utilă în memorie și să ocolească antivirusul software și tehnologie modernă care poate detecta doar amenințările, pe baza fișierelor.Noua metodă constă în faptul că, în timpul executării sarcinii utile rău intenționate (fișierul), se află în memorie și nu interacționează cu discul într-o formă necriptată. Cercetătorii au subliniat că noii nu sunt troienii care accesează și detectează de la distanță soluțiile utilizate de intruși. Ca cyber Securitate compania SentinelOne a analizat metoda de infecție prin exemplul troian NanoCore, dar este potrivit și pentru alte RAT bine cunoscute.
După ce rulează pe un sistem, malware-ul se copiază victimei în „% APPDATA% \ Microsoft \ Blend \ 14.0 \ FeedCache \ nvSCPAPISrv.exe ”, extrage al doilea cod„ PerfWatson.exe ”și execută ambele coduri. Biblioteca de legături dinamice criptate (DDL), este responsabilă pentru despachetarea și implementarea ŞOBOLAN, decriptat și copiat în memorie. Setări pentru DDL și a codului executabil NanoCore criptat stocat în mai multe fișiere PNG sub formă de date pixel. După decodarea tuturor componentelor sarcinii utile a unui troian este încorporat într-un nou proces utilizând „API-ul Win32”.
Metoda descrisă de cercetători evită detectarea și a fost utilizată cu succes de către criminali cibernetici în timpul atacurilor sponsorizate de guverne asupra instituțiilor din Asia.