Pratite nas preko RSS-aNapad na Google - Aurora Malware izbliza
Vesti, 01.02.2010, 22:26 PM
Stručnjaci za bezbednost nastavljaju sa proučavanjem pojedinosti vezanih za softver korišćen u napadu na Google, Adobe i druge velike kompanije, otkrivši pri tom da se radi o složenom paketu programa koji koriste posebne protokole i sofisticirane metode infekcije.
Napadi, jednim imenom nazvani Aurora, osmišljeni su sa izričitim ciljem da pronalaze važne fajlove u kompromitovanim kompjuterima, a analize različitih delova štetnog softvera korišćenog u napadima pokazuju da je softver potpuno odgovorio zadatku. U blog postu koji se bavio detaljnom analizom aplikacija Guilherme Venere iz McAfee-ja kaže da se radi o mnogobrojnim međusobno povezanim delovima štetnog softvera, od kojih svaki ima posebnu namenu.
Posle inicranja DLL-a štetnog softvera, napravljena je veza ka komandnom i kontrolnom (C&C) serveru. Konekcija je npravljena na portu 433 kojeg obično koristi HTTPS protokol, enkriptovan SSL-om. Tokom analize, uočili smo da angažovani protokol na ovom portu nije bio standardan SSL protokol, već posebno podešen enkriptovan protokol.
'Backdoor' klijent pokreće protokol objavljivanjem paketa sa uvek istih 20 bita:
[ ff ff ff ff ff ff 00 00 fe ff ff ff ff ff ff ff ff ff 88 ff ]
Posle početnog usklađivanja, protokol koristi 20-bitne pakete kao uvod za sve komunikacije koje prati. Svi podaci poslati od klijenta ka serveru su kodirani logičkim NOT, i svi podaci primljeni od servera su XOR kodirani sa 0xCC.
Kada se štetan program nađe u kompjuteru i kada je usklađivanje okončano, otpočinje sakupljanje informacija o računaru i pokušaji da se podaci pošalju na udaljeni 'command-and-control' server. Aplikacija beleži verziju OS kompjutera, ime, stepen 'servis pack'-a i 'registry key' koji sadrži opis glavnog procesora računara.
„Kao što se vidi, napadi uključuju veoma napredne metode sa više delova štetnog programa koji rade koordinirano kako bi napadačima obezbedili punu kontrolu nad zaraženim sistemom, pokušavajući istovremeno da se maskiraju u vidu obične konekcije ka pouzdanom sajtu. Na ovaj način napadači su u stanju da tajno prikupe sve informacije koje su im potrebne a da pri tom ne budu otkriveni,“ piše Venere.
---------
Članak preuzet sa:
http://threatpost.com/
Izdvojeno
Grok chatovi završili na Google-u: 370.000 privatnih razgovora dostupno svima
Ako ste ikada koristili Grok, četbot kompanije xAI iza kojeg stoji Ilon Musk, možda su transkripti vaših razgovora završili na internetu, dostupni... Dalje
Veštačka inteligencija je naivna: AI pomoćnici ne prepoznaju stare onlajn prevare
Istraživači iz Guardio Labs-a demonstrirali su novu tehniku napada pod nazivom PromptFix, koja pokazuje koliko su AI pomoćnici u pretraživačima r... Dalje
Ahilova peta menadžera lozinki - ugroženi milioni korisnika
Na svetskoj hakerskoj konferenciji DEF CON, istraživač Marek Tot iz Češke otkrio je kritične ranjivosti u ekstenzijama za veb pregledače popular... Dalje
Apple objavio hitne zakrpe: opasna ranjivost već iskorišćena u napadima
Apple je objavio vanredna ažuriranja za iPhone, iPad i Mac, nakon što je otkrivena ranjivost koja se, prema priznanju kompanije, već koristi u cilj... Dalje
Zašto i dalje „padamo“ na lažne mejlove i zašto obuka ne pomaže?
Koliko god kompanije ulagale u obuku zaposlenih o sajber bezbednosti, prevaranti i dalje pobeđuju. Novo istraživanje pokazuje da čak i intenzivna o... Dalje
Pratite nas
Nagrade
Prijatelji
