Pratite nas preko RSS-aNapad na Google - Aurora Malware izbliza
Vesti, 01.02.2010, 22:26 PM
Stručnjaci za bezbednost nastavljaju sa proučavanjem pojedinosti vezanih za softver korišćen u napadu na Google, Adobe i druge velike kompanije, otkrivši pri tom da se radi o složenom paketu programa koji koriste posebne protokole i sofisticirane metode infekcije.
Napadi, jednim imenom nazvani Aurora, osmišljeni su sa izričitim ciljem da pronalaze važne fajlove u kompromitovanim kompjuterima, a analize različitih delova štetnog softvera korišćenog u napadima pokazuju da je softver potpuno odgovorio zadatku. U blog postu koji se bavio detaljnom analizom aplikacija Guilherme Venere iz McAfee-ja kaže da se radi o mnogobrojnim međusobno povezanim delovima štetnog softvera, od kojih svaki ima posebnu namenu.
Posle inicranja DLL-a štetnog softvera, napravljena je veza ka komandnom i kontrolnom (C&C) serveru. Konekcija je npravljena na portu 433 kojeg obično koristi HTTPS protokol, enkriptovan SSL-om. Tokom analize, uočili smo da angažovani protokol na ovom portu nije bio standardan SSL protokol, već posebno podešen enkriptovan protokol.
'Backdoor' klijent pokreće protokol objavljivanjem paketa sa uvek istih 20 bita:
[ ff ff ff ff ff ff 00 00 fe ff ff ff ff ff ff ff ff ff 88 ff ]
Posle početnog usklađivanja, protokol koristi 20-bitne pakete kao uvod za sve komunikacije koje prati. Svi podaci poslati od klijenta ka serveru su kodirani logičkim NOT, i svi podaci primljeni od servera su XOR kodirani sa 0xCC.
Kada se štetan program nađe u kompjuteru i kada je usklađivanje okončano, otpočinje sakupljanje informacija o računaru i pokušaji da se podaci pošalju na udaljeni 'command-and-control' server. Aplikacija beleži verziju OS kompjutera, ime, stepen 'servis pack'-a i 'registry key' koji sadrži opis glavnog procesora računara.
„Kao što se vidi, napadi uključuju veoma napredne metode sa više delova štetnog programa koji rade koordinirano kako bi napadačima obezbedili punu kontrolu nad zaraženim sistemom, pokušavajući istovremeno da se maskiraju u vidu obične konekcije ka pouzdanom sajtu. Na ovaj način napadači su u stanju da tajno prikupe sve informacije koje su im potrebne a da pri tom ne budu otkriveni,“ piše Venere.
---------
Članak preuzet sa:
http://threatpost.com/
Izdvojeno
Ove nedelje stupio na snagu prvi zakon koji zabranjuje slabe lozinke na pametnim uređajima
.jpg)
Nacionalni centar za sajber bezbednost Velike Britanije (NCSC) pozvao je proizvođače pametnih uređaja da se pridržavaju novog zakona koji im zabra... Dalje
Većina ljudi priznaje da se i dalje oslanja na pamćenje i olovku i papir za lozinke
Istraživanje o lozinkama koje je sprovela kompanija Bitwarden pokazalo je da se većina ljudi i dalje oslanja na pamćenje i olovku i papir kada je r... Dalje
Posle SAD, Avast kažnjen i u EU zbog kršenja zakona o zaštiti podataka korisnika
.jpg)
Kancelarija za zaštitu ličnih podataka u Češkoj (UOOU) izrekla je kaznu od 15,8 miliona evra kompaniji Avast zbog kršenja Opšte uredbe za zašti... Dalje
Google oglasi za Facebook vode do sajtova prevaranata
Google ima problem sa oglasima u pretrazi, upozorio je programer Džastin Poliačik, a njegove reči potvrdili su i istraživači kompanije Malwarebyt... Dalje
Zloglasna ransomware grupa HelloKitty najavila povratak i novo ime
Sajber kriminalci iz ransomware grupe ranije poznate kao HelloKitty objavili su da se naziv grupe menja u „HelloGookie“. Oni su objavili n... Dalje
Pratite nas
Nagrade
Prijatelji
