Злоумышленники используют функции виртуализации на Windows и активируют роль Hyper-V. В этой среде размещаются вредоносные программы CurlyShell и CurlCat, которые обеспечивают постоянный доступ к сети и возможность удалённого выполнения команд.
Злоумышленники включают роль Hyper-V на взломанных системах и разворачивают виртуальную машину на базе Alpine Linux, которая занимает 120 МБ на диске и 256 МБ оперативной памяти.
В виртуальной машине размещаются:
- исполняемый файл CurlyShell, который обеспечивает постоянную обратную оболочку и выполняет команды напрямую.
- CurlCat для управления туннелированием трафика.
Для сохранения доступа злоумышленники используют широкий спектр прокси и методов туннелирования, например Resocks, Rsockstun, Ligolo-ng, CCProxy, Stunnel и методы на основе SSH. Для удаленного выполнения команд применяется скрипт PowerShell.
Расследование показало, что злоумышленники умело обходят стандартные средства обнаружения, используя легитимные технологии виртуализации. Для защиты рекомендуется использовать многоуровневую систему безопасности.
Злоумышленники включают роль Hyper-V на взломанных системах и разворачивают виртуальную машину на базе Alpine Linux, которая занимает 120 МБ на диске и 256 МБ оперативной памяти.
В виртуальной машине размещаются:
- исполняемый файл CurlyShell, который обеспечивает постоянную обратную оболочку и выполняет команды напрямую.
- CurlCat для управления туннелированием трафика.
Для сохранения доступа злоумышленники используют широкий спектр прокси и методов туннелирования, например Resocks, Rsockstun, Ligolo-ng, CCProxy, Stunnel и методы на основе SSH. Для удаленного выполнения команд применяется скрипт PowerShell.
Расследование показало, что злоумышленники умело обходят стандартные средства обнаружения, используя легитимные технологии виртуализации. Для защиты рекомендуется использовать многоуровневую систему безопасности.
Мы внедряем системы информационной безопасности в Свердловской области и Севастополе!
Благодаря многолетнему опыту и команде экспертов, знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.
+7 (343) 222-13-32 — Екатеринбург
+7 (978) 214 29 87 — Севастополь
Благодаря многолетнему опыту и команде экспертов, знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.
+7 (343) 222-13-32 — Екатеринбург
+7 (978) 214 29 87 — Севастополь