A Windows eseménynaplója igen hasznos eszköz az operációs rendszer hibáinak feltárása során, ugyanis megjeleníti az alkalmazás- és rendszerüzenetek naplóját, benne a hibákkal, figyelmeztetésekkel. Egy új, összetett támadás során, amelyre a Kaspersky kutatói figyeltek fel, éppen ezt az eseménynaplót használták fel alantas céljaikra hackerek.

A Kaspersky – írja a Bleeping Computer – részletes elemzést közölt egy összetett támadásról, amely tavaly ősszel kezdődött. Különféle technikák és szoftverek kombinációját foglalta magában, de a Kaspersky biztonsági kutatói újdonságként emelték ki a Windows eseménynaplóinak használatát. A hacker kampány egyik szakaszában a támadó shellkódot szúrt be a célpont Windows eseménynaplójába. A rosszindulatú programok tárolásának ez a módszere azért is veszélyes, mert nem hagy a víruskeresők számára észlelhető fájlokat.

A támadás egyik legérdekesebb része az, hogy shellkódokat injektálnak a Windows eseménynaplóiba a Key Management Services (KMS) számára

Kaspersky

A Kaspersky vizsgálata feltárta, hogy a malware egy „célzott” kampány része volt, és számos kereskedelmi forgalomban kapható és egyedi eszközre támaszkodott. A támadás egyedisége azt jelzi, hogy egy adott célrendszerre szabták. Az első lépés a „social engineering” volt, amelynek során a támadó meggyőzte az áldozatot, hogy töltsön le és futtasson egy .rar fájlt a file.io legitim fájlmegosztó webhelyről.

A Kaspersky nem tudta összekapcsolni a támadást egyetlen ismert gyanúsítottal sem, és nem tudta meghatározni annak végső célját. A kutatók azonban elmondták a támadást részletesen leíró BleepingComputernek, hogy a hasonló támadások célja általában értékes adatok megszerzése a célpontjaiktól. A kutatók egyelőre SilentBreak néven követik az új tevékenységet, a támadás során leggyakrabban használt eszköz neve után.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.