Pratite nas preko RSS-aNapad na ranjivost u Java malverom koji se sakriva u memoriji
Vesti, 20.03.2012, 09:07 AM
Drive-by download napadi su jedan od najčešćih načina distribuciije malvera na internetu. U ovim napadima se koriste ranjivosti u neažuriranom softveru a rezultat toga su infekcije računara bez ikakvog učešća korisnika u procesu infekcije.
Istraživači Kaspersky Laboratoriji nedavno su analizirali jedan takav napad na posetioce sajtova ruske novinske agencije RIA Novosti i online izdanja ruskih dnevnih novina Gazeta.
Napadački kod učitava exploit za poznatu ranjivost u Java (CVE-2011-3544). Kod nije hostovan na pogođenim veb sajtovima već se nalazi u banerima third-party reklamnog servisa AdFox.
Ovakav napad možda ne bi privukao veću pažnju da malver koji je deo napada nije zlonamerni program koji se teško otkriva jer ne kreira bilo kakve fajlove na pogođenom sistemu - umesto toga on “živi” samo u memoriji računara.
“Aktivnost ovakvog exploita uključuje spremanje zlonamernog fajla, obično droppera ili downloadera na hard disku,” kaže Sergej Golovanoov iz Kaspersky Laboratorije. “Međutim, u ovom slučaju bili smo iznenađeni: novi fajlovi se nisu pojavili na hard disku.”
Payload Java exploita se sastoji od zlonamernog DLL (dynamic-link library) koji se učitava i dodaje u hodu legitimnom Java procesu. Ovakav tip malvera je redak jer živi sve dok sistem ne bude restartovan a memorija očišćena.
Ono na šta očigledno računaju autori kampanje u okviru koje se distribuira ovaj malver je pretpostavka da će većina posetilaca ponovo posetiti zaražene veb sajtove.
Zlonamerni DLL koji se nalazi u memoriji se ponaša kao bot, šaljući podatke i primajući instrukcije od komandnog i kontrolnog servera preko HTTP. U nekim slučajevima, instrukcije koje dolaze od napadača sa ovog servera odnose se na instalaciju bankarskog Trojanca na zaraženim računarima.
Za sada su ovim malverom pogođeni samo ruski korisnici. Ipak, Golovanov kaže da to ne znači da se isti exploit i isti bot koji ne ostavlja tragove za sobom neće pojaviti bilo gde u svetu s obzirom da se distribuira preko banera i oglasnih mreža.
Najbolji način zaštite od ovakve vrste napada je redovno ažuriranje softvera na računaru a posebno brauzera i njihovih dodataka. U slučaju da je reč o napadima exploita koji pogađaju nepoznate ranjivosti najbolja zaštita je antivirusni program koji skenira veb saobraćaj i ima sposobnost generičke detekcije napadačkog koda.
“Najbolje je zaustaviti infekciju u ranim fazama, zato što kada se jednom ovakav malver bez fajlova učita u memoriju i priključi legitimnom procesu, mnogo ga je teže otkriti antivirusnim programom,” kaže Golovanov.
Izdvojeno
Zbog greške u popularnom WordPress pluginu ugroženo više od 200.000 sajtova
Više od 200.000 veb sajtova koji koriste ranjivu verziju popularnog WordPress plugina Post SMTP mogli bi biti laka meta za hakere. Post SMTP je dodat... Dalje
Digitalna distopija: kako WiFi može da vas prepozna
Naučnici sa Univerziteta La Sapienza u Rimu otkrili su kako da prepoznaju ljude samo pomoću WiFi signala, bez ikakvog snimanja, bez saglasnosti, bez... Dalje
Malver u novoj igri na Steamu krade lozinke i kriptovalutu
Igrači na Steam platformi ponovo su se našli na meti sajber kriminalaca, ovoga puta kroz kompromitovanu igru Chemia, koja je korišćena za distribu... Dalje
Tihi uljez u WordPressu: Novi backdoor koristi skrivene pluginove za potpunu kontrolu sajta
Istraživači sajber bezbednosti iz kompanije Sucuri otkrili su novi backdoor skriven u direktorijumu „mu-plugins“ na WordPress sajtovima,... Dalje
Opasna 0-day ranjivost u SharePoint-u: Microsoft upozorava na masovne napade
Microsoft je izdao hitno upozorenje nakon što je otkriveno da hakeri širom sveta iskorišćavaju ranjivost nultog dana u lokalnim SharePoint server... Dalje
Pratite nas
Nagrade
Prijatelji
