Wyróżnione programy w softpage.pl

NAJCZĘŚCIEJ POBIERANE

Sterownik do kamery internetowej Creative Live!... Creative Live! Cam Vista IM (VF0260) 
[31632] 
Sterownik do kamery internetowej Creative Live!...
Fun Billboard CE to darmowy program, wyświetla... Fun Billboard 2.5.0.41 
[15224] 
Fun Billboard CE to darmowy program, wyświetla...
Sterownik do kamery internetowej Creative Live!... Creative Live! Cam Vista IM (VF0420) 
[12818] 
Sterownik do kamery internetowej Creative Live!...
DWG TrueConvert to bezpłatny program, służą... DWG TrueConvert 2010 
[11129] 
DWG TrueConvert to bezpłatny program, służą...
Sterownik do głośników Creative Inspire T610... Creative Inspire T6100 
[10407] 
Sterownik do głośników Creative Inspire T610...
"MiniDuke"- nowy szkodliwy program przeznaczony do szpiegowania wielu podmiotów i instytucji rządowych. Drukuj Email

Dodany przez: Redakcja   
Środa, 27 Luty 2013 17:28
Kaspersky Lab informuje o swoim nowym projekcie badawczym, w którym przeanalizowany został szereg incydentów naruszeń bezpieczeństwa z wykorzystaniem wykrytego niedawno exploita PDF dla aplikacji Adobe Reader (CVE-2013-6040) oraz nowego, spersonalizowanego szkodliwego programu znanego jako MiniDuke. W ciągu ostatniego tygodnia MiniDuke został wykorzystany w atakach na wiele podmiotów i instytucji rządowych na całym świecie. Eksperci z Kaspersky Lab we współpracy ze specjalistami z laboratorium CrySys Lab szczegółowo przeanalizowali ostatnie ataki i opublikowali swoje wnioski.
 
 
 
Według analizy Kaspersky Lab, MiniDuke atakuje sporo ważnych celów, łącznie z jednostkami rządowymi na Ukrainie, w Belgii, Portugalii, Rumunii, Czechach i Irlandii. Ponadto, skompromitowano instytut badawczy, dwa zespoły ekspertów i dostawcę usług medycznych w Stanach Zjednoczonych oraz prominentną fundację badawczą na Węgrzech.

„To jest bardzo nietypowy cyberatak - pamiętam ten styl złośliwego programowania z końca roku 1990 i początku roku 2000”, powiedział Jewgienij Kasperski, dyrektor generalny Kaspersky Lab. „Zastanawiam się, czy nie jest tak, że ci twórcy szkodliwego oprogramowania, którzy byli w stanie hibernacji przez ponad dekadę, nagle obudzili się i dołączyli do wyrafinowanej grupy aktorów zagrażających cyberprzestrzeni. Ci elitarni twórcy szkodliwego oprogramowania, wywodzący się ze ‘starej szkoły’ programistycznej, którzy byli niezwykle skuteczni w przeszłości w tworzeniu bardzo złożonych wirusów, teraz łączą swoje zdolności ze współczesnymi, wysoce zaawansowanymi exploitami omijającymi technologie sandboxowe, aby nękać jednostki samorządu terytorialnego lub instytucje badawcze w różnych krajach na całym świecie”.

„MiniDuke jest wysoce spersonalizowanym backdoorem, napisanym w asemblerze, posiadającym bardzo niewielki rozmiar 20 kilobajtów” - dodaje Jewgienij Kasperski. „Połączenie starych metod doświadczonych twórców szkodliwego oprogramowania z wykorzystaniem nowo odkrytych exploitów i sprytnych technik socjotechnicznych do łamania zabezpieczeń wyszukanych celów jest bardzo niebezpieczne”.
 
Główne wnioski z badania przeprowadzonego przez Kaspersky Lab:

  • Napastnicy posługujący się szkodliwym programem MiniDuke są nadal aktywni. Zagrożenie zostało stworzone w okolicach 20 lutego 2013 r. Aby skompromitować ofiary, atakujący używają niezwykle skutecznych metod socjotechnicznych, które obejmują wysyłanie do wybranych celów szkodliwych dokumentów PDF. Pliki PDF są bardzo istotne – ze względu na bardzo starannie sfabrykowaną zawartość, koncentrującą się na informacjach z seminarium dotyczącego praw człowieka (ASEM) oraz wiadomości dotyczących polityki zagranicznej Ukrainy i planów rozszerzenia członkostwa w NATO. Złośliwe pliki PDF są uzbrojone w exploity atakujące aplikację Adobe Reader w wersji 9, 10 i 11 oraz omijające metody sandboxowe. Do stworzenia exploitów użyto specjalnego zestawu narzędzi, a exploity wykorzystane w atakach MiniDuke'a wyposażone są we własne, niestandardowe złośliwe oprogramowanie.
  • Kiedy exploit zostanie pomyślnie wdrożony w systemie ofiary, niewielki downloader (o rozmiarze 20 KB) jest instalowany na dysku twardym zainfekowanego komputera. Downloader ten jest unikatowy dla każdego systemu i zawiera spersonalizowanego backdoora napisanego w asemblerze. Podczas swojego ładowania, przy uruchamianiu systemu operacyjnego, downloader wykonuje serię obliczeń matematycznych, aby określić unikatowy „odcisk palca” komputera, a następnie wykorzystuje te dane do jednoznacznego zaszyfrowania swoich późniejszych komunikatów. Szkodnik jest również zaprogramowany, aby unikać analizy przeprowadzanej przez zdefiniowany zestaw narzędzi w niektórych środowiskach, takich jak VMware. Jeżeli wykryje obecność wyspecjalizowanych narzędzi analitycznych, będzie działał w trybie bezczynności, zamiast przejść na dalszy etap aktywności i odsłonić więcej funkcjonalności poprzez odszyfrowanie swojej zawartości. Oznacza to, że twórcy szkodliwego oprogramowania dokładnie wiedzieli, co firmy antywirusowe i specjaliści ds. bezpieczeństwa IT robią w celu analizy i identyfikacji złośliwego oprogramowania.

 

 

  • Jeśli system docelowy spełnia wstępnie zdefiniowane wymagania, szkodnik używa Twittera (bez wiedzy użytkownika) i zaczyna poszukiwać tweetów z konkretnych kont. Te konta zostały stworzone przez operatorów centrum kontroli (C2) MiniDuke'a, a same tweety dostarczają specyficznych etykiet wskazujących zaszyfrowane adresy URL dla backdoora. Adresy URL zapewniają dostęp do serwerów kontroli, a także dostarczają poprzez pliki GIF do systemu ofiary potencjalne rozkazy i kolejne zaszyfrowane backdoory.
  • W oparciu o przeprowadzoną analizę widać wyraźnie, że twórcy MiniDuke'a postarali się również o dynamiczny system awaryjny, który także jest w stanie pozostawać w ukryciu. Jeżeli Twitter nie działa lub konta zostaną wyłączone, szkodnik potrafi użyć usługi Google Search, aby znaleźć zaszyfrowane ciągi do następnego serwera kontroli. Model ten jest niezwykle elastyczny i umożliwia operatorom stale zmieniać sposób, w jaki backdoory pobierają dalsze rozkazy lub fragmenty złośliwego kodu.
  • Kiedy zainfekowany system zlokalizuje serwer kontroli, otrzymuje zaszyfrowane backdoory, które są zamaskowane wewnątrz plików GIF – pojawiają się one jako zdjęcia na komputerze ofiary. Gdy pliki zostaną pobrane na urządzenie ofiary, same mogą pobrać większego backdoora, który jest w stanie wykonać kilka podstawowych czynności, takich jak: kopiowanie / przeniesienie pliku, usunięcie pliku, stworzenie katalogu, zakończenie procesu i, oczywiście, pobranie i uruchomienie nowego złośliwego oprogramowania.
  • Aby otrzymywać instrukcje od napastników, backdoor łączy się z dwoma serwerami centrum kontroli – w Panamie i w Turcji.

    Analiza nowego zagrożenia przeprowadzona przez CrySys Lab jest dostępna na stronie: http://blog.crysys.hu/2013/02/miniduke/.
Źródło: KasperskyLab

Tagi: bezpieczeństwo | exploit | MiniDuke | szkodliwe oprogramowanie

Komentarze
Dodaj nowy
Napisz komentarz
Nick:
E-mail:
 
Tytuł:
Proszę wpisać kod antyspamowy widoczny na obrazku.

3.26 Copyright (C) 2008 Compojoom.com / Copyright (C) 2007 Alain Georgette / Copyright (C) 2006 Frantisek Hliva. All rights reserved."

 
darmowe programy, programy, download,  dobre programy, dobreprogramy, instalki, programy do pobrania, darmowe gry do pobrania za darmo,  freeware, shareware, emule, bearshare, turboxp, nero, download, darmowe gry download programy najnowsze programy, norton anti-virus, download
Liczba programów : 10101
Liczba artykułów : 1056
Liczba poradników : 360
Liczba terminów IT : 407
Osób online: 49 gości