СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
11.03.2025
#Dev#ИБ

Вредоносное ПО Peaklight: угроза безопасности и способы защиты

Вредоносное ПО Peaklight: угроза безопасности и способы защиты

В последние месяцы в области кибербезопасности наблюдается рост активности вредоносного ПО под названием Peaklight. Эта программа, направленная на кражу конфиденциальных данных, нацелена на устройства Windows и использует множество продвинутых методов для обхода средств защиты. Рассмотрим основные возможности Peaklight и способы противодействия ему.

Что такое Peaklight?

Peaklight – это вредоносная программа, предназначенная для сбора конфиденциальной информации, включая:

  • Учетные данные для входа в систему;
  • Финансовые данные;
  • Ключи от криптовалютных кошельков.

Распрострнение этой программы осуществляется по подпольным каналам, иногда в рамках модели MaaS (Malware as a Service). Она обладает гибкой структурой и регулярно обновляется, что позволяет избегать обнаружения традиционными мерами защиты.

Методы работы Peaklight

Следует отметить, что Peaklight использует множество методов антианализа, чтобы не потерять работоспособность на зараженных устройствах. После запуска программа активируется с помощью скрипта PowerShell, который:

  • Обходит протоколы безопасности;
  • Загружает профили пользователей;
  • Проверяет системную память на наличие сигналов виртуальных сред.

Скрипт не только запускает другие компоненты вредоносного ПО, но и развертывает запутанные файлы в локальном временном каталоге. Используя API NtAllocateVirtualMemory, Peaklight постоянно пересчитывает адреса памяти для оптимизации работы.

Способы защиты от Peaklight

Для борьбы с Peaklight организациям рекомендуется использование Wazuh, который интегрируется с YARA для обнаружения вредоносных программ. Основные советы по настройке:

  • Используйте Sysmon для мониторинга поведения и показателей, связанных с вредоносным ПО;
  • Настройте правила YARA для отслеживания признаков активности, таких как:
    • Использование ключей AES;
    • Ссылки на векторы инициализации;
    • Шаблоны шифрования .NET.
  • Регистрация действий на обнаружение изменений файлов в папке загрузок;
  • Использование модуля активного реагирования Wazuh для предотвращения выполнения вредоносных операций.

Мониторинг в режиме реального времени при помощи Wazuh File Integrity Monitoring (FIM) позволяет быстро выявлять изменения в файлах и генерировать оповещения на панели мониторинга Wazuh. Это позволяет организациям принимать упреждающие меры, устраняя вредоносные файлы ещё до того, как те способны нанести серьезный ущерб.

Заключение

Верное применение технологий Wazuh и YARA может значительно повысить уровень безопасности и обеспечить углубленный анализ поведения вредоносных программ. Это позволит разработать эффективные стратегии обнаружения угроз и реагирования на них, минимизируя риски, связанные с вредоносным ПО Peaklight.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: