Kalendarz SECURITY

Lipiec 2019
P W Ś C Pt S N
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31 1 2 3 4

Partnerzy portalu

slide2 slide3 slide4

Login Form

Redaktor naczelny

piotr blaszczecPiotr Błaszczeć- specjalista ds. bezpieczeństwa IT, audytor systemów IT, Lead auditor ISO 27001, 20000, 22301 jednostki certyfikacyjnej CIs CERT i Quality Austria, biegły sądowy z zakresu przestępst przy użyciu sieci komputerowych, Administrator Bezpieczeństwa informacji w kilku podmiotach sektora prywatnego i publicznego, członek ISACA, ISSA, IIC, IIS, SABI.
e-mail:
www.blaszczec.pl

exploitPamiętacie Stegosplota? (zob. Nadchodzi nowa era ataków – obrazem zhakujesz komputer). Pisaliśmy o nim na początku czerwca tego roku. Indyjski niezależny ekspert od kryptografii Saumil Shah przedstawił dowód na zhakowanie komputera poprzez plik graficzny, który otworzony za pomocą przeglądarki na skutek wykorzystania błędów w zabezpieczeniach zmuszał je do odkodowania ukrytej wiadomości w warstwie obrazu.

Pomimo, że problem ten przedstawiał tylko możliwości potencjalnego ataku, to niestety teraz musimy poinformować, że właśnie eksperci z Dell SecureWorks Counter Threat Unit przeanalizowali złośliwe oprogramowanie, które dokładnie tak samo wykorzystuje cyfrową steganografię do ukrywania części swojego szkodliwego kodu. Pomimo, że Stegoloader nie jest nowy (poprzednie jego wersje z 2013 i 2014 roku dostarczane były z narzędziami do generowania kluczy do nielegalnego oprogramowania) to zawiera kilka ciekawych funkcjonalności, o których warto wspomnieć przynajmniej z jednego powodu – wszyscy możemy być niedługo świadkami nowego malware masowo atakującego użytkowników sieci Internet. Głównym powodem, dla którego Stegoloader został stworzony jest kradzież informacji od użytkowników.

Malware jest modularnej budowy, co oznacza, że autorzy tego szkodliwego oprogramowania mogą dołączać do niego dodatkowe funkcjonalności w przyszłości. Niestety, jak twierdzą badacze nie udało im się przenalizować wszystkich jego modułów. A według podanych informacji wirus nie został opracowany przez byle kogo, posada wiele technik, które pomagają mu ukrywać się przed oprogramowaniem antywirusowym oraz narzędziami do debuggowania i wstecznej inżynierii – jeden z modułów wirusa przed jego uruchomieniem sprawdza listę działających procesów w systemie i porównuje je z tymi przedstawionymi w poniższej tabeli. Jeśli jeden z nich zostanie pozytywnie zweryfikowany malware przerywa swoje działanie nawet w środowisku wirtualnym by utrudnić badaczom sprawdzenia swoich możliwości.

Kiedy jednak żaden z uruchomionych procesów nie zostanie zidentyfikowany malware pobiera swój główny moduł z serwera www, który ukryty jest w pliku PNG.

Przykładowy obraz z zakodowaną zawartością.

Po pobraniu pliku graficznego stegoloader używa biblioteki dgiplus do dekompresji obrazu i wyodrębnia z niego wszystkie najmniej znaczące bity odpowiedzialne za wyświetlanie koloru każdego piksela. Obraz nie jest zapisywany na dysku, więc znacznie utrudnia to wykrycie złośliwego kodu przy pomocy tradycyjnych technik do analizy plików. 

Natomiast główny moduł malware komunikuje się z serwerem C&C szyfrowanym tunelem. Haker może rozkazać szkodnikowi zbieranie informacji na temat systemu, zainstalowanego oprogramowania, historii przeglądarki czy adresu MAC routera. Zebrane dane wysyła do zdalnego serwera.

Inne moduły mogą lokalizować adres IP użytkownika, czy nawet wykradać hasła z popularnych aplikacji, które wykorzystują protokoły poczty POP, IMAP i protokoły komunikacyjne FTP oraz SSH. 

[źródło: www.arcabit.pl ]

Dodaj komentarz


Kod antyspamowy
Odśwież