Trazi

Napad na Google - Aurora Malware izbliza

Vesti, 01.02.2010, 22:26 PM

Stručnjaci za bezbednost nastavljaju sa proučavanjem pojedinosti vezanih za softver korišćen u napadu na Google, Adobe i druge velike kompanije, otkrivši pri tom da se radi o složenom paketu programa koji koriste posebne protokole i sofisticirane metode infekcije.

Napadi, jednim imenom nazvani Aurora, osmišljeni su sa izričitim ciljem da pronalaze važne fajlove u kompromitovanim kompjuterima, a analize različitih delova štetnog softvera korišćenog u napadima pokazuju da je softver potpuno odgovorio zadatku. U blog postu koji se bavio detaljnom analizom aplikacija Guilherme Venere iz McAfee-ja kaže da se radi o mnogobrojnim međusobno povezanim delovima štetnog softvera, od kojih svaki ima posebnu namenu.

Posle inicranja DLL-a štetnog softvera, napravljena je veza ka komandnom i kontrolnom (C&C) serveru. Konekcija je npravljena na portu 433 kojeg obično koristi HTTPS protokol, enkriptovan SSL-om. Tokom analize, uočili smo da angažovani protokol na ovom portu nije bio standardan SSL protokol, već posebno podešen enkriptovan protokol.

'Backdoor' klijent pokreće protokol objavljivanjem paketa sa uvek istih 20 bita:

[ ff ff ff ff ff ff 00 00 fe ff ff ff ff ff ff ff ff ff 88 ff ]

Posle početnog usklađivanja, protokol koristi 20-bitne pakete kao uvod za sve komunikacije koje prati. Svi podaci poslati od klijenta ka serveru su kodirani logičkim NOT, i svi podaci primljeni od servera su XOR kodirani sa 0xCC.

Kada se štetan program nađe u kompjuteru i kada je usklađivanje okončano, otpočinje sakupljanje informacija o računaru i pokušaji da se podaci pošalju na udaljeni 'command-and-control' server. Aplikacija beleži verziju OS kompjutera, ime, stepen 'servis pack'-a i 'registry key' koji sadrži opis glavnog procesora računara.

„Kao što se vidi, napadi uključuju veoma napredne metode sa više delova štetnog programa koji rade koordinirano kako bi napadačima obezbedili punu kontrolu nad zaraženim sistemom, pokušavajući istovremeno da se maskiraju u vidu obične konekcije ka pouzdanom sajtu. Na ovaj način napadači su u stanju da tajno prikupe sve informacije koje su im potrebne a da pri tom ne budu otkriveni,“ piše Venere.

---------

Članak preuzet sa:
http://threatpost.com/
Threat post


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Google objavio hitno upozorenje o privatnosti za 1,5 milijardi korisnika Google Photos

Google objavio hitno upozorenje o privatnosti za 1,5 milijardi korisnika Google Photos

Google je izdao upozorenje za oko 1,5 milijardi korisnika Google Photos servisa, nakon optužbi da kompanija koristi fotografije korisnika za obučava... Dalje

Hakeri koriste novi trik za krađu Facebook naloga

Hakeri koriste novi trik za krađu Facebook naloga

Tokom poslednjih šest meseci, sajber kriminalci sve intenzivnije koriste tzv. „browser-in-the-browser“ (BitB) tehniku kako bi prevarili k... Dalje

Dve Chrome ekstenzije krale razgovore korisnika sa ChatGPT-om i DeepSeek-om

Dve Chrome ekstenzije krale razgovore korisnika sa ChatGPT-om i DeepSeek-om

Bezbednosni istraživači iz kompanije OX Security otkrili su dve zlonamerne ekstenzije u Chrome Web Store-u koje su korišćene za krađu razgovora k... Dalje

Srećni praznici!

Srećni praznici!

Dragi čitaoci, želimo vam dobro zdravlje i srećnu i uspešnu 2026. godinu. Tokom praznika sajt neće biti ažuriran. Sa redovnim sadržajem nastavl... Dalje

Korisnici Microsoft naloga upozoreni na fišing napade

Korisnici Microsoft naloga upozoreni na fišing napade

Korisnicima Microsoft naloga savetuje se pojačan oprez zbog porasta fišing napada koji koriste tehniku poznatu kao typosquatting. Sajber kriminalci ... Dalje

Prijatelji

besplatni programi za windows android ios linux testovi uputstva
IT Vesti
Jeftini proizvodi
Baguje.com

© 2017. SINGI Inzenjering. Sva prava zadržana. Privacy Policy

Developed by MyCity, designed by Spundo.