Wyciek dokumentów związanych z tzw. "aferą podsłuchową" stał się pretekstem do łatwiejszych ataków socjotechnicznych na użytkowników polskiego Internetu. Jak donosi zespół CERT.PL jednym z takich przypadków stał się plik o nazwie AKTA CAŁE 1-20.exe.
Jest to złośliwe oprogramowanie z dużymi możliwościami: działa jako keylogger, rozprzestrzenia się przez dyski przenośne oraz kradnie zapisane w przeglądarkach i rejestrze systemu hasła, a na domiar złego to tylko niektóre możliwości z jakimi będziemy mieć do czynienia uruchamiając zainfekowany plik. Prawdopodobnie rozprzestrzenia się on poprzez strony udostępniające pliki, które użytkownicy przeszukują aby odnaleźć wszystkie akta dotyczące śledztwa. Złośliwe oprogramowanie jest wykrywane przez 45 z 57 rozwiązań antywirusowych prezentowanych w systemie VirusTotal. Analizowany plik to prymitywny robak, którego głównym zadaniem jest kradzież danych, a w większości antywirusów występuje pod nazwą “Rebhip”. Robak ten po infekcji stacji roboczej ofiary wykonuje szereg czynności:
Jest to złośliwe oprogramowanie z dużymi możliwościami: działa jako keylogger, rozprzestrzenia się przez dyski przenośne oraz kradnie zapisane w przeglądarkach i rejestrze systemu hasła, a na domiar złego to tylko niektóre możliwości z jakimi będziemy mieć do czynienia uruchamiając zainfekowany plik. Prawdopodobnie rozprzestrzenia się on poprzez strony udostępniające pliki, które użytkownicy przeszukują aby odnaleźć wszystkie akta dotyczące śledztwa. Złośliwe oprogramowanie jest wykrywane przez 45 z 57 rozwiązań antywirusowych prezentowanych w systemie VirusTotal. Analizowany plik to prymitywny robak, którego głównym zadaniem jest kradzież danych, a w większości antywirusów występuje pod nazwą “Rebhip”. Robak ten po infekcji stacji roboczej ofiary wykonuje szereg czynności:
- Wykrada hasła z popularnych przeglądarek internetowych takich jak Internet Explorer oraz Firefox.
- Kopiuje siebie na wszystkie dyski przenośne i tworzy odpowiedni plik AUTORUN.INF, który powoduje, że komputer z systemem Windows i włączoną opcją autostartu może zostać zainfekowany po włożeniu dysku przenośnego.
- Wstrzykuje się do dwóch procesów: explorer.exe oraz iexplore.exe. Za pomocą tego drugiego procesu prowadzi komunikację sieciową z serwerem C&C. W ten sposób omija zapory ogniowe, które sprawdzają aplikacje komunikujące się z Internetem, bo większość użytkowników zezwala procesowi Internet Explorer na taką komunikację.
- Dodaje się w czterech różnych kluczach rejestru, aby zagwarantować sobie uruchomienie wraz ze startem systemu.
- Wykrada dane dostępowe do serwisu no-ip.com, dzięki czemu atakujący uzyskuje dostęp do większej liczby domen i może często zmieniać serwer C&C.
Oprócz tego złośliwe oprogramowanie zawiera kod, który ma
utrudnić jego analizę za pomocą debuggera. Oprócz standardowych technik
takich jak sprawdzenie czy program jest debugowany za pomocą flagi IsBeingDebugged
program sprawdza również czy niektóre funkcje nie zaczynają się od
instrukcji powodującej zatrzymanie programu. Jest to częsty zabieg
stosowany przez osoby analizujące oprogramowanie aby program działał
tak długo, aż dojdzie do interesującej funkcji. Złośliwe oprogramowanie implementuje również metody, które
pozwalają na uniknięcie środowisk do analizy. Bazują one na sprawdzeniu
klucza instalacji systemu Windows, istnienia pewnych bibliotek DLL lub
usług. Po wykradnięciu danych przesyłane są one pod adres w domenie no-ip.info, który wskazuje na adres IP w sieci UPC. Jest także dostawcą usług “dynamicznego DNS” co oznacza, że adres IP na
który rozwiązuje się nazwa domenowa może się szybko zmieniać.
Zalecamy ostrożność przy otwieraniu poczty pochodzącej z
nieznanych źródeł czy pobieraniu plików z niezaufanych stron
internetowych.
Źródło:
www.cert.pl
Wyciek dokumentów może czasem nieźle zachwiać pozycję firmy. Znane już były przypadki upadku firmy z racji utraty danych lub ujawnienie tajnych informacji w internecie. Za taki atak grozi odpowiedzialność karna, lecz dla firmy wtedy ma to już małe znaczenie
OdpowiedzUsuńBardzo fajnie zostało to napisane.
OdpowiedzUsuń