Pratite nas preko RSS-aNapad na Google - Aurora Malware izbliza
Vesti, 01.02.2010, 22:26 PM
Stručnjaci za bezbednost nastavljaju sa proučavanjem pojedinosti vezanih za softver korišćen u napadu na Google, Adobe i druge velike kompanije, otkrivši pri tom da se radi o složenom paketu programa koji koriste posebne protokole i sofisticirane metode infekcije.
Napadi, jednim imenom nazvani Aurora, osmišljeni su sa izričitim ciljem da pronalaze važne fajlove u kompromitovanim kompjuterima, a analize različitih delova štetnog softvera korišćenog u napadima pokazuju da je softver potpuno odgovorio zadatku. U blog postu koji se bavio detaljnom analizom aplikacija Guilherme Venere iz McAfee-ja kaže da se radi o mnogobrojnim međusobno povezanim delovima štetnog softvera, od kojih svaki ima posebnu namenu.
Posle inicranja DLL-a štetnog softvera, napravljena je veza ka komandnom i kontrolnom (C&C) serveru. Konekcija je npravljena na portu 433 kojeg obično koristi HTTPS protokol, enkriptovan SSL-om. Tokom analize, uočili smo da angažovani protokol na ovom portu nije bio standardan SSL protokol, već posebno podešen enkriptovan protokol.
'Backdoor' klijent pokreće protokol objavljivanjem paketa sa uvek istih 20 bita:
[ ff ff ff ff ff ff 00 00 fe ff ff ff ff ff ff ff ff ff 88 ff ]
Posle početnog usklađivanja, protokol koristi 20-bitne pakete kao uvod za sve komunikacije koje prati. Svi podaci poslati od klijenta ka serveru su kodirani logičkim NOT, i svi podaci primljeni od servera su XOR kodirani sa 0xCC.
Kada se štetan program nađe u kompjuteru i kada je usklađivanje okončano, otpočinje sakupljanje informacija o računaru i pokušaji da se podaci pošalju na udaljeni 'command-and-control' server. Aplikacija beleži verziju OS kompjutera, ime, stepen 'servis pack'-a i 'registry key' koji sadrži opis glavnog procesora računara.
„Kao što se vidi, napadi uključuju veoma napredne metode sa više delova štetnog programa koji rade koordinirano kako bi napadačima obezbedili punu kontrolu nad zaraženim sistemom, pokušavajući istovremeno da se maskiraju u vidu obične konekcije ka pouzdanom sajtu. Na ovaj način napadači su u stanju da tajno prikupe sve informacije koje su im potrebne a da pri tom ne budu otkriveni,“ piše Venere.
---------
Članak preuzet sa:
http://threatpost.com/
Izdvojeno
StealTok: lažne TikTok ekstenzije špijuniraju više od 130.000 korisnika
Više od 130.000 korisnika izloženo je riziku zbog lažnih TikTok downloader ekstenzija za Google Chrome i Microsoft Edge, koje prikupljaju osetljive... Dalje
108 Chrome ekstenzija krade podatke korisnika
Istraživači iz Socket-a otkrili su veliku kampanju koja uključuje 108 zlonamernih ekstenzija za Google Chrome, sa procenjenih 20.000 pogođenih kor... Dalje
Booking.com potvrdio incident: podaci korisnika u rukama napadača
Booking.com je počeo da obaveštava korisnike nakon što je potvrđeno da je treća strana pristupila delu podataka o rezervacijama. Prema navodima k... Dalje
Google Chrome dobija zaštitu protiv krađe sesija: ukradeni kolačići postaju beskorisni
Google je uveo novu bezbednosnu funkciju u Chrome koja ima za cilj da zaustavi jednu od najčešćih tehnika savremenih napada — krađu korisni... Dalje
Lažni ChatGPT Ad Blocker krao razgovore korisnika
Lažna Chrome ekstenzija pod nazivom ChatGPT Ad Blocker koristila se za krađu razgovora korisnika, predstavljajući se kao alat za uklanjanje oglasa ... Dalje
Pratite nas
Nagrade
Prijatelji
