Skocz do zawartości

Aktywacja nowych użytkowników
Zakazane produkcje

  • advertisement_alt
  • advertisement_alt
  • advertisement_alt
Dark Messiah

Groźny Miniduke atakuje - jest się czego bać?

Rekomendowane odpowiedzi

wirus_komputerowy.jpeg

 

Badacze z Kaspersky Lab odkryli, ??e szkodliwe programy dzia??ajÄ?ce w ramach starej akcji cyberszpiegowskiej Miniduke z 2013 r. sÄ? ciÄ?gle wykorzystywane w kampaniach wycelowanych w rzÄ?dy i inne organizacje. Ponadto, nowa platforma Miniduke'a, BotGenStudio, mo??e byÄ? wykorzystywana nie tylko do przeprowadzania zaawansowanych d??ugotrwa??ych atak??w (APT), ale tak??e przez organy ??cigania i tradycyjnych przestÄ?pc??w.

Mimo ??e osoby stojÄ?ce za pierwotnÄ? kampaniÄ? Miniduke zaprzesta??y swojej dzia??alno??ci lub przynajmniej w znacznym stopniu zmniejszy??y jej intensywno??Ä?, badanie przeprowadzone przez Kaspersky Lab oraz CrySyS Lab na poczÄ?tku tego roku wykaza??o, ??e ta grupa cyberprzestÄ?pc??w zn??w aktywnie dzia??a. Tym razem jednak eksperci zauwa??yli zmiany w podej??ciu i narzÄ?dziach wykorzystywanych przez atakujÄ?cych.

"Nowy" backdoor Miniduke'a

 

Po ujawnieniu Minidukeâ??a przez Kaspersky Lab w 2013 r., stojÄ?ce za nim osoby zaczÄ???y u??ywaÄ? backdoora w??asnej produkcji, kt??ry potrafi?? kra??Ä? r????ne rodzaje informacji. Ten szkodliwy program podszywa?? siÄ? pod popularne aplikacje, z natury dzia??ajÄ?ce w tle, i robi?? to bardzo skutecznie â?? imitowa?? ikony, nazwy a nawet rozmiary plik??w.

G????wny kod â?žnowegoâ? backdoora Minidukeâ??a (znanego tak??e pod nazwami TinyBaron oraz CosmicDuke) powsta?? przy u??yciu narzÄ?dzia zwanego BotGenStudio, kt??re pozwala na pe??ne dostosowanie modu????w dzia??ajÄ?cych w szkodliwym programie. Komponenty te mo??na podzieliÄ? na trzy grupy:

 

1. Uruchamianie - Miniduke/CosmicDuke mo??e wykorzystywaÄ? mened??era zada?? systemu Windows do uruchamiania specjalnego narzÄ?dzia, kt??re dodaje proces szkodnika do rejestru systemowego. Zagro??enie mo??e byÄ? tak??e aktywowane, gdy u??ytkownika nie ma przy komputerze - wraz z uruchomieniem wygaszacza ekranu.

2. Rekonesans - szkodliwy program potrafi kra??Ä? szereg informacji, ??Ä?cznie z plikami o okre??lonych rozszerzeniach i s??owach kluczowych, takich jak: *.exe; *.ndb; *.mp3; *.avi; *.rar; *.docx; *.url; *.xlsx; *.pptx; *psw*; *pass*; *login*; *admin*; *vpn; *.jpg; *.txt; *.lnk; *.dll; *.tmp. itd. Backdoor posiada wiele funkcji, ??Ä?cznie z przechwytywaniem znak??w wprowadzanych z klawiatury (keylogger), gromadzeniem og??lnych informacji o sieci, w kt??rej dzia??a zainfekowana maszyna, przechwytywaniem zawarto??ci ekranu, wyciÄ?ganiem informacji ze schowka i ksiÄ???ek adresowych (Windows oraz Microsoft Outlook), kradzie??Ä? hase?? z komunikatora Skype i innych narzÄ?dzi (Google Chrome, Google Talk, Opera, TheBat!, Firefox, Thunderbird), przeglÄ?daniem zawarto??ci certyfikat??w i kluczy prywatnych itd.

3. Ciche wyprowadzenie danych â?? szkodnik otwiera kilka po??Ä?cze?? sieciowych, by ukradkowo wys??aÄ? wszystkie wykradzione informacje. Wykorzystywane sÄ? zar??wno po??Ä?czenia FTP, jak i HTTP.

KolejnÄ? interesujÄ?cÄ? cechÄ? nowego zagro??enia jest spos??b, w jaki przechowywane sÄ? skradzione dane. Ka??dy plik przesy??any do serwera kontrolowanego przez cyberprzestÄ?pc??w jest dzielony na ma??e fragmenty (o rozmiarze oko??o 3 KB ka??dy), kt??re z kolei sÄ? kompresowane, szyfrowane i umieszczane w specjalnym kontenerze. Je??eli plik jest bardzo du??y, mo??e zostaÄ? umieszczony w kilku takich kontenerach, kt??re sÄ? kolejno wysy??ane do atakujÄ?cych. Te dodatkowe mechanizmy ochrony transmisji danych sprawi??y, ??e niewielu badaczy jest w stanie dotrzeÄ? do oryginalnych danych.

Unikatowe funkcje szkodliwego programu

 

Ka??da ofiara CosmicDukeâ??a otrzymuje unikatowy identyfikator, pozwalajÄ?cy cyberprzestÄ?pcom na wysy??anie spersonalizowanych aktualizacji szkodliwego programu. Aby chroniÄ? siÄ? przed wykryciem, wykorzystuje zaawansowane metody utrudniajÄ?ce analizÄ? kodu przeprowadzanÄ? przez oprogramowanie antywirusowe.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Dołącz do dyskusji

Możesz dodać zawartość już teraz a zarejestrować się później. Jeśli posiadasz już konto, zaloguj się aby dodać zawartość za jego pomocą.

Gość
Dodaj odpowiedź do tematu...

×   Wklejono zawartość z formatowaniem.   Usuń formatowanie

  Dozwolonych jest tylko 75 emoji.

×   Odnośnik został automatycznie osadzony.   Przywróć wyświetlanie jako odnośnik

×   Przywrócono poprzednią zawartość.   Wyczyść edytor

×   Nie możesz bezpośrednio wkleić grafiki. Dodaj lub załącz grafiki z adresu URL.

    • 2 Posts
    • 257 Views
    • 3 Posts
    • 476 Views
    • 3 Posts
    • 511 Views
    • 1 Posts
    • 253 Views

×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Korzystając z tej witryny, wyrażasz zgodę na nasze Warunki użytkowania.