Den oppdaterte Makadocs malware: Hvordan beskytte brukere locally

Spør eksperten

SearchSecurity.com ekspert Michael Cobb står klar til å svare på spørsmål om bedriften applikasjonssikkerhet og plattform sikkerhet. Send inn ditt spørsmål via e-post. (Alle spørsmål er anonyme.)

Makadocs malware eksisterte før Windows 8, men ble oppdatert for å inkludere funksjonalitet for å målrette Windows 8-brukere. Makadocs bruker social engineering for å få brukeren til å åpne og kjøre ondsinnet fil. Den Makadocs malware bruker Google Docs via HTTPS fullmakt til å kommunisere med en egen kommando og kontroll server. Dette gjør det vanskeligere å oppdage og blokkere tilkoblinger til C &C-serveren uten potensielt bryte hele nettstedet. Ved hjelp av Google Dokumenter kan også malware å jobbe i nettverk der bare HTTPS-tilkoblinger er tillatt utgående. Google doc brukes ikke til å direkte angripe datamaskinen, i stedet, mottar kommandoer for å kontrollere malware. Det er mange andre offentlige nettsteder som har blitt brukt som servere, som Twitter, fast-flux domener og andre kommer tilbake til den første som brukte IRC. Noen botnet har brukt peer-to-peer C &. C funksjonalitet til bypass nettverkssikkerhetsverktøy og deteksjon

Sikring endepunktet er den mest effektive måten å blokkere malware, men det er andre trinn du kan bruke for eksempel blokkere HTTPS-tilkoblingen til Google. Dette kan være upopulært i mange organisasjoner, imidlertid, og selv krøpling organisasjoner som bruker Google Apps for sine tjenester

For å håndtere malware manuelt, analysere det infiserte systemet for å finne ut hva Google doc brukes til C &.; C-tilkoblinger, og deretter identifisere Google-kontoen er i bruk. Denne kontoen kan rapporteres for en periode-of-service brudd å deaktivere kommandoen, som vil deaktivere C &C aspekt av malware. Dette kan også gjøre deaktivere C &C infrastruktur enklere. Det er web-proxyer som vil overvåke HTTPS økter som kan være i stand til å oppdage mistenkelige bruk av Google-dokumenter.



Previous:
Next Page: