Spør eksperten

SearchSecurity ekspert Nick Lewis står klar til å svare på spørsmål om bedriften sikkerhetstrusler!. Send inn dine spørsmål via e-post. (Alle spørsmål er anonyme.)

PinkStats har angivelig blitt brukt i løpet av de siste fire årene av en kinesisk APT gruppe som hovedsakelig er rettet mot sørkoreanske-baserte nettverk. PinkStats er overførte komponent av verktøysettet disse hackergruppene bruker til å inngå kompromisser og kontroll datamaskiner for å stjele åndsverk, hemmeligheter og andre verdifulle data.

For en APT angrep skal lykkes, vil det kreve mer enn den PinkStats overførte. Først en innledende infeksjon vektor, som kan inkludere en zero-day utnytte eller et kjent utnytte, må infiltrere målsystemet og bare da kan det overførte komponent laste ned resten av malware brukt i angrepet. Nedlastinger forekommer vanligvis i løpet av krypterte egendefinerte protokoller for malware, standard HTTPS, peer-to-peer-tilkoblinger, og lignende.

Den eneste faktoren som skiller PinkStats overførte fra andre malware angrep er det bruker HTTP å få tilgang til hva ser ut som en Web-teller. Men etter grundig analyse av hele strømmen av kommunikasjon mellom den kompromitterte systemet og kommando-og-kontroll-server, kan en analytiker identifisere at kommunikasjonen var ikke bare en web teller, men heller en full-on malware angrep. Det er flere andre måter denne malware kan bli oppdaget. En antimalware nettverk apparatet kunne identifisere malware ved å sjekke ekstern nettside mot en svarteliste over kompromitterte nettsteder. Et apparat inspisere alle nedlastede filer kan undersøke filen i en sandkasse for å fastslå om noen ondsinnede handlinger blir tatt. Alternativt kan et endepunkt sikkerhetsverktøy oppnå noen av disse oppgavene. Anmeldelser