Trong một báo cáo bảo mật tháng trước, Microsoft đã tiết lộ chiến dịch phần mềm độc hại sLoad (Starsload) lạm dụng thành phần BITS trong Windows cho các hoạt động độc hại. Nhưng các nhà khai thác phần mềm độc hại đã nhanh chóng tung ra một sLoad nâng cấp 2.0 tháng này.
Mặc dù phiên bản sLoad mới đã không thay đổi nhiều, nhưng thực tế là các tác giả của sLoad đã xuất xưởng một phiên bản mới trong chưa đầy một tháng sau khi tiếp xúc.
Phần mềm độc hại sLoad hoạt động như thế nào?
Phần mềm độc hại sLoad (Starsload) về cơ bản là phần mềm tải xuống phần mềm độc hại của người dùng chương trình phần mềm độc hại của chương trình phần mềm độc hại của trò chơi điện tử trực tuyến. Windows PC với mục đích thu thập thông tin từ các hệ thống bị nhiễm bệnh. Thông tin bị đánh cắp này sau đó được gửi đến máy chủ chỉ huy và kiểm soát (C & C) sau đó nó nhận được hướng dẫn để tải xuống và cài đặt tải trọng phần mềm độc hại thứ hai.
Nói tóm lại, sLoad là một cơ chế phân phối cho các chủng phần mềm độc hại nguy hiểm hơn. Nó cũng giúp các nhà khai thác sLoad kiếm tiền bằng cách cung cấp không gian trả cho mỗi lần cài đặt cho các chiến dịch phần mềm độc hại khác.
khai thác sLoad Windows CHÚT ÍT
Mặc dù các trình tải xuống phần mềm độc hại là phổ biến và không phải là vấn đề đáng lo ngại, nhưng Microsoft nói rằng sLoad là một công cụ duy nhất nhờ mức độ tinh vi và sử dụng các kỹ thuật phi tiêu chuẩn để tấn công. Nhưng điều liên quan nhất là việc sử dụng Windows CHÚT ÍT.
Bối cảnh Dịch vụ chuyển khoản thông minh hoặc BITS là một thành phần trong Windows thông qua đó Microsoft gửi các bản cập nhật tới Windows người dùng trên toàn thế giới. Dịch vụ BITS có thể phát hiện bất cứ khi nào người dùng không sử dụng kết nối mạng. Nó sử dụng thời gian chết này để tải về Windows cập nhật.
Tuy nhiên, dịch vụ BITS cũng có thể được sử dụng bởi các ứng dụng khác ngoài Windows Quá trình cập nhật. Các ứng dụng khác nhau sử dụng BITS để lên lịch các tác vụ và hoạt động mạng bất cứ khi nào kết nối mạng PC không hoạt động.
sLoad là một trong số ít các loại phần mềm độc hại có toàn bộ hệ thống liên lạc máy chủ-máy chủ dựa vào Windows Dịch vụ BITS của một máy chủ bị nhiễm bệnh.
Phần mềm độc hại Starsload có thể thiết lập các tác vụ theo lịch trình BITS chạy theo định kỳ. Nó sử dụng các tác vụ này để liên lạc với máy chủ C & C của mình, tải xuống các tải trọng phần mềm độc hại khác và thậm chí gửi dữ liệu từ máy chủ bị nhiễm trở lại máy chủ.
Ngoài việc tận dụng các giao tiếp BITS, sLoad còn dựa vào ngôn ngữ kịch bản PowerShell cho chế độ thực thi không mã hóa của bộ điều khiển trong đó phần mềm độc hại có thể chạy hoàn toàn bên trong RAM mà không cần sử dụng đĩa.
Thay đổi nhẹ trong hoạt động
Sujit Magar, một nhà phân tích phần mềm độc hại tại Nhóm nghiên cứu ATP của Microsoft Defender, nói rằng có nhiều thay đổi trong sLoad 2.0 phần mềm độc hại.
Các bổ sung mới là các tập lệnh WSF thay vì tập lệnh VB trong quá trình lây nhiễm; một cơ chế để kiểm tra xem các nhà phân tích phần mềm độc hại có đang phân tích mã hay không và triển khai hệ thống theo dõi các giai đoạn lây nhiễm sLoad.
