«Лаборатория Касперского» обнаружила случаи хранения вредоносного кода в журналах событий Windows

«Лаборатория Касперского» объявила о случаях хранения вредоносного кода в журналах событий Windows. Ранее такая схема не была доступна для обнаружения.

Для хранения вредоносного ПО используются журналы событий Windows. Злоумышленники также применяют SilentBreak и CobaltStrike — легальные инструменты для тестирования на проникновение.

В цепочку заражения входит целый набор вспомогательных модулей, написанных в том числе на Go. Они используются, чтобы затруднить обнаружение троянцев последней ступени.

За первичное заражение системы отвечает модуль из архива, скачиваемого жертвой. Некоторые файлы могут быть подписаны цифровым сертификатом. Далее зловред может удалённо управлять заражёнными устройствами.

Для защиты от бесфайлового ПО и схожих угроз компания рекомендует:

• установить эффективное защитное решение, в которых есть компоненты, позволяющие детектировать аномалии в поведении файлов и выявлять вредоносное ПО;

  
• использовать EDR-решение и продукт для борьбы со сложными целевыми атаками, а также обеспечить сотрудникам центра мониторинга доступ к свежей аналитике и регулярно повышать их квалификацию с помощью профессиональных тренингов;
  
• применять решения для защиты конечных устройств и специализированные сервисы, которые помогут защититься от наиболее продвинутых атак.