Privacy, Security, Society - Computer Science for Business Leaders 2016
Πίνακας περιεχομένων:
Οι ερευνητές από τον πωλητή ασφαλείας FireEye έχουν αποκαλύψει μια νέα προηγμένη επίμονη απειλή (APT) που χρησιμοποιεί πολλαπλές τεχνικές απάτης κατά της ανίχνευσης, καθορίστε την ενεργή ανθρώπινη αλληλεπίδραση με τον μολυσμένο υπολογιστή.
Το Trojan.APT.BaneChant, το κακόβουλο λογισμικό διανέμεται μέσω ενός εγγράφου του Word που είναι εφοδιασμένο με ένα exploit που αποστέλλεται κατά τη διάρκεια επιθέσεων με ηλεκτρονικό ταχυδρομείο. Το όνομα του εγγράφου μεταφράζεται στο "Ισλαμικό Τζιχάντ."
"Υποψιάζουμε ότι αυτό το οπλοποιημένο έγγραφο χρησιμοποιήθηκε για να στοχεύσει τις κυβερνήσεις της Μέσης Ανατολής και της Κεντρικής Ασίας", δήλωσε ο ερευνητής της FireEye Chong Rong Hwa τη Δευτέρα σε μια θέση στο blog.
[Περαιτέρω ανάγνωση: Τρόπος κατάργησης κακόβουλου λογισμικού από τον υπολογιστή σας Windows]Επίθεση πολλών σταδίων
Η επίθεση λειτουργεί σε πολλαπλά στάδια. Το κακόβουλο έγγραφο κατεβάζει και εκτελεί ένα στοιχείο το οποίο επιχειρεί να προσδιορίσει αν το λειτουργικό περιβάλλον είναι ένα εικονικό, όπως ένα antivirus sandbox ή ένα αυτοματοποιημένο σύστημα ανάλυσης κακόβουλου λογισμικού, περιμένοντας να δούμε αν υπάρχει κάποια δραστηριότητα ποντικιού πριν ξεκινήσει το δεύτερο στάδιο επίθεσης. > Η παρακολούθηση κλικ με το ποντίκι δεν είναι μια νέα τεχνική απάτης κατά της ανίχνευσης, αλλά το κακόβουλο λογισμικό που το χρησιμοποίησε στο παρελθόν ελέγχθηκε γενικά για ένα μόνο κλικ του ποντικιού, δήλωσε ο Rong Hwa. Το BaneChant περιμένει τουλάχιστον τρία κλικ του ποντικιού πριν προχωρήσει στην αποκρυπτογράφηση μιας διεύθυνσης URL και να κατεβάσει ένα πρόγραμμα backdoor που μεταμφιέζεται ως αρχείο εικόνας.jpg
Το κακόβουλο λογισμικό χρησιμοποιεί επίσης άλλες μεθόδους απάτης κατά της ανίχνευσης. Για παράδειγμα, κατά το πρώτο στάδιο της επίθεσης, το κακόβουλο έγγραφο κατεβάζει το συστατικό dropper από μια διεύθυνση URL ow.ly. Ο λόγος πίσω από τη χρήση αυτής της υπηρεσίας είναι να παρακάμψει τις υπηρεσίες μαύρης λίστας διευθύνσεων URL που είναι ενεργές στον στοχευόμενο υπολογιστή ή στο δίκτυό του, δήλωσε ο Rong Hwa. (Δείτε επίσης "Κατάχρηση ανεπιθύμητων αλληλογραφίας. Spam".
Ομοίως, κατά τη διάρκεια του δεύτερου σταδίου της επίθεσης, το κακόβουλο αρχείο.jpg κατεβάζεται από μια διεύθυνση URL που δημιουργείται με τη δυναμική No-IP Η υπηρεσία DNS (Domain Name System)
Αφού φορτωθεί από το πρώτο στοιχείο, το αρχείο.jpg αφαιρεί ένα αντίγραφο του GoogleUpdate.exe στο φάκελο "C: ProgramData Google2 \". στο αρχείο στον φάκελο εκκίνησης του χρήστη, προκειμένου να διασφαλιστεί η εκτέλεση του προγράμματος μετά από κάθε επανεκκίνηση του υπολογιστή.
Αυτή είναι μια προσπάθεια να εξαπατήσουμε τους χρήστες να πιστέψουν ότι το αρχείο αποτελεί μέρος της υπηρεσίας ενημέρωσης Google, ενός νόμιμου προγράμματος που είναι κανονικά εγκατεστημένο στο πλαίσιο του "C: Program Files Google Update \", δήλωσε ο Rong Hwa.
Το backdoor πρόγραμμα συγκεντρώνει και μεταφορτώνει τις πληροφορίες του συστήματος πίσω σε ένα διακομιστή εντολών και ελέγχων. πρόσθετα αρχεία στους μολυσμένους υπολογιστές.
Καθώς οι αμυντικές τεχνολογίες προχωρούν, το κακόβουλο λογισμικό επίσης, δήλωσε ο Rong Hwa. Σε αυτήν την περίπτωση, το κακόβουλο λογισμικό έχει χρησιμοποιήσει πολλά τεχνάσματα, συμπεριλαμβανομένης της ανεύρεσης της ανάλυσης του sandbox, ανιχνεύοντας την ανθρώπινη συμπεριφορά, παρακάμπτοντας την τεχνολογία δυαδικής εξαγωγής σε επίπεδο δικτύου, πραγματοποιώντας πολλαπλή XOR κρυπτογράφηση εκτελέσιμων αρχείων, μεταμφιεσμένη ως νόμιμη διαδικασία, αποφεύγοντας την εγκληματολογική ανάλυση χρησιμοποιώντας αρχεία χωρίς αρχεία τον κακόβουλο κώδικα που έχει φορτωθεί απευθείας στη μνήμη και την αποτροπή της μαύρης λίστας αυτοματοποιημένου τομέα, χρησιμοποιώντας ανακατεύθυνση μέσω συντόμευσης URL και δυναμικών υπηρεσιών DNS
Την Παρασκευή, ο Magnus Bergman κατέθεσε έγγραφα με το Σουηδικό Γραφείο Καταχώρισης Επιχειρήσεων για να κάνει την απομάκρυνσή του από την υπηρεσία Global Gaming Factory X. Ο Bergman δεν είναι έτοιμος να μιλήσει για τις λεπτομέρειες που προκάλεσαν την απόφασή του να εγκαταλείψει την εταιρεία σε τόσο κρίσιμη στιγμή, λέγοντας ότι δεν θέλει να διαταράξει τη συμφωνία ενώ βρίσκεται σε εξέλιξη - αλλά θα σχολιάσει μετά από συνάντηση μετόχων την Πέμπτη ψήφισε εάν θα εγκρίνει την εξαγορά του The Pirate Ba
Δεν είναι η πρώτη φορά που η Global Gaming Factory έχασε το βασικό προσωπικό από την ανακοίνωσή της για την απόκτηση του Pirate Bay. Το μέλος του διοικητικού συμβουλίου Johan Sellström και ο πρώην διευθυντής της Grokster, Wayne Rosso, που εργάστηκε ως σύμβουλος του Global Gaming Factory για μερικές εβδομάδες, έχουν εγκαταλείψει την εταιρεία και τώρα εκτοξεύουν τον CEO της εταιρείας Hans Pandeya. σχεδιάζει να εξαγοράσει το The Pirate Bay για 60 εκατομμύρια σουηδικές κορώνες (8,25 εκατομμύρια δολά
Η φαντασία ότι η εφαρμογή FanCheck για το Facebook μολύνει υπολογιστές με κακόβουλο λογισμικό είναι λανθασμένη, ο προγραμματιστής της εφαρμογής δήλωσε στο IDG ότι το λογισμικό του FanCheck δεν είναι κακόβουλο λογισμικό
Η φανταστική και δημοφιλής εφαρμογή FanCheck για το Facebook δεν φέρει ιούς και είναι απολύτως ασφαλής και νόμιμη, σύμφωνα με τον δημιουργό της.
Η Google σταμάτησε αυτόματα την αναζήτησή της από την Κίνα προς τη μηχανή αναζήτησης του Χονγκ Κονγκ, κάτω από το Google.cn, τη λογοκρισία της μηχανής αναζήτησης που δημιούργησε για να συμμορφωθεί με τους Κινέζους νόμους. Η επισκεψιμότητα στον ιστότοπο μεταφέρθηκε στη μηχανή αναζήτησης Google, χωρίς λογοκρισία, στο Google.com.hk. Εκείνη την εποχή, η Google δήλωσε ότι η κίνηση για την ανακατεύθυνση της κίνησης από την κινεζική περιοχή στο Χονγκ Κονγκ ήταν μια «λογική λύση», αλλά αναγνώρισε ότι η
Αυτό δεν συνέβη ποτέ. Αλλά η απόφαση για ανακατεύθυνση της κίνησης στη μηχανή αναζήτησης του Χονγκ Κονγκ εξόργισε τους κινέζους αξιωματούχους, οι οποίοι ανάγκασαν τελικά την Google να σταματήσει.