Senior Threat Ingeniør Marilyn Melliang av Trend Micro Inc. skrev et blogginnlegg om malware og bruken av Windows-programvare policyer (SRP).
Dette malware , kalt Vawtrak
, er modulbasert malware i stand til å deaktivere antimalware programvare ved hjelp SRP, noe som minimerer sjansen for å bli oppdaget og fjernet.
Selv om denne teknikken er ikke så vanlig som prøver å drepe prosesser knyttet til antimalware verktøy som tillater dem å kjøre effektivt, er det potensielt mer effektive. Antimalware verktøy har innebygd forsvar for å hindre uvedkommende i å bare drepe søknadsprosesser, slette filer eller avinstallere programvare. Mens du bruker SRP å deaktivere antimalware er vanskelig - det ville kreve riktig konfigurering av policyen til å blokkere eventuelle antimalware verktøy -. Vawtrak bruker en innledende overførte å komme inn på systemet og kjøre ondsinnet kode til å infisere den
Vawtrak bruker Windows SRP å prøve å deaktivere 53 forskjellige antimalware verktøy. Ved å sette banen til kjørbare filer som brukes av antimalware verktøy i en SRP liste, hindrer Vawtrak dem i å kjøre på systemet, og derfor deaktiverer antimalware verktøy.
Vanligvis tradisjonelle feilsøking endepunkt antimalware ser ikke inn i SRP konfigurasjon. Men å starte et system fra sikker modus eller kobler den infiserte harddisken til en kjent sikkert system med oppdaterte antimalware definisjoner potensielt kan fjerne malware.
Bedrifter kan bruke den samme fremgangsmåten som beskytter endepunktene mot skadelige programmer for å beskytte mot Vawtrak , men bør kontrollere at verktøyene kan oppdage den og annen skadelig programvare som forsøker å gjøre endringer i SRP eller andre hvitlisting verktøy. Host Intrusion gjenkjenningsverktøy som overvåker for vertsbaserte endringer kan også oppdage endringer fra Vawtrak.
Spør eksperten!
Lyst til å spørre Nick Lewis et spørsmål om bedriften trusler?
Send inn ditt spørsmål nå
via e-post! (Alle spørsmål er anonyme.)