Napad na Google - Aurora Malware izbliza

Vesti, 01.02.2010, 22:26 PM

Stručnjaci za bezbednost nastavljaju sa proučavanjem pojedinosti vezanih za softver korišćen u napadu na Google, Adobe i druge velike kompanije, otkrivši pri tom da se radi o složenom paketu programa koji koriste posebne protokole i sofisticirane metode infekcije.

Napadi, jednim imenom nazvani Aurora, osmišljeni su sa izričitim ciljem da pronalaze važne fajlove u kompromitovanim kompjuterima, a analize različitih delova štetnog softvera korišćenog u napadima pokazuju da je softver potpuno odgovorio zadatku. U blog postu koji se bavio detaljnom analizom aplikacija Guilherme Venere iz McAfee-ja kaže da se radi o mnogobrojnim međusobno povezanim delovima štetnog softvera, od kojih svaki ima posebnu namenu.

Posle inicranja DLL-a štetnog softvera, napravljena je veza ka komandnom i kontrolnom (C&C) serveru. Konekcija je npravljena na portu 433 kojeg obično koristi HTTPS protokol, enkriptovan SSL-om. Tokom analize, uočili smo da angažovani protokol na ovom portu nije bio standardan SSL protokol, već posebno podešen enkriptovan protokol.

'Backdoor' klijent pokreće protokol objavljivanjem paketa sa uvek istih 20 bita:

[ ff ff ff ff ff ff 00 00 fe ff ff ff ff ff ff ff ff ff 88 ff ]

Posle početnog usklađivanja, protokol koristi 20-bitne pakete kao uvod za sve komunikacije koje prati. Svi podaci poslati od klijenta ka serveru su kodirani logičkim NOT, i svi podaci primljeni od servera su XOR kodirani sa 0xCC.

Kada se štetan program nađe u kompjuteru i kada je usklađivanje okončano, otpočinje sakupljanje informacija o računaru i pokušaji da se podaci pošalju na udaljeni 'command-and-control' server. Aplikacija beleži verziju OS kompjutera, ime, stepen 'servis pack'-a i 'registry key' koji sadrži opis glavnog procesora računara.

„Kao što se vidi, napadi uključuju veoma napredne metode sa više delova štetnog programa koji rade koordinirano kako bi napadačima obezbedili punu kontrolu nad zaraženim sistemom, pokušavajući istovremeno da se maskiraju u vidu obične konekcije ka pouzdanom sajtu. Na ovaj način napadači su u stanju da tajno prikupe sve informacije koje su im potrebne a da pri tom ne budu otkriveni,“ piše Venere.

---------

Članak preuzet sa:
http://threatpost.com/
Threat post


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Hakeri koriste novi alat za phishing napade na korisnike Microsoft 365

Hakeri koriste novi alat za phishing napade na korisnike Microsoft 365

Istraživači sajber bezbednosti iz kompanije Trustwave otkrili su „Rockstar 2FA“, phishing-as-a-service platformu koja pomaže hakerima d... Dalje

Nova AI funkcija Google Chromea omogućava brzu proveru pouzdanosti veb sajtova

Nova AI funkcija Google Chromea omogućava brzu proveru pouzdanosti veb sajtova

Google Chrome će dobiti novu funkciju pod nazivom „Store reviews“ („Recenzije prodavnice“) koja koristi veštačku inteligenc... Dalje

Prevaranti poklanjaju pretplatu za Telegram Premium - evo šta se krije iza toga

Prevaranti poklanjaju pretplatu za Telegram Premium - evo šta se krije iza toga

Prosečni čovek troši 938 dolara godišnje na 12 pretplata, otkrila je nedavno sprovedena studija kompanije Kaspersky. Postoje pretplate za sve: muz... Dalje

Ako dobijete ovakvu poruku od Netflixa, ne nasedajte – to je prevara

Ako dobijete ovakvu poruku od Netflixa, ne nasedajte – to je prevara

Bitdefender upozorava na poruke koje dobijaju korisnici Netflixa u kojima se obaveštavaju da su im nalozi suspendovani zbog neplaćene pretplate. &bd... Dalje

Hakerska grupa Matrix koristi veliki IoT botnet za DDoS napade

Hakerska grupa Matrix koristi veliki IoT botnet za DDoS napade

Istraživači firme Aqua Nautilus upozoravaju na DDoS napade ruskog hakera ili hakerske grupe Matrix, koja koristi ranjivosti i pogrešne konfiguracij... Dalje