Хакеры внедряют зловредный код в безобидно выглядящий процесс программного обеспечения VMware Tools, инициируя серию событий, которая в итоге приводит к сбору важной информации о системе.
Самое уникальное в UNAPIMON – это его способность скрытно загружаться в систему и работать из процесса «cmd.exe», оставаясь за пределами радаров большинства средств защиты. Эта вредоносная программа обходит традиционное обнаружение, изменяя стандартный процесс загрузки и работы библиотек DLL, удаляя за собой все следы. Программа использует официальные инструменты отладки Microsoft для изменения процессов вызова функций, что позволяет ей манипулировать системными процессами, не привлекая внимания.
Ксения Ахрамеева, ведущий инженер-аналитик компании «Газинформсервис» отмечает, что нестандартные подходы к обходу систем безопасности действительно очень опасны для IT-инфраструктуры любой компании. «Когда хакеры используют новое вредоносное ПО, или отходят от шаблонов в своих атаках, далеко не факт, что поможет антивирус или даже комплексное СЗИ. В таких случаях лучше использовать ПО, оснащенное модулем UEBA, например, программный продукт Ankey ASAP, который оснащен поведенческой аналитикой. Подобный класс программ, позволяет успешно детектировать атаки в самом начале их проведения», – говорит Ксения.