Igor Sołmenkow
24 kwietnia 2013 Nowe ataki z użyciem exploitów PDF wymierzone w aktywistów ujgurskich i tybetańskich Igor Sołmenkow 24 kwietnia 2013 MiniDuke: wektor infekcji poprzez WWW Igor Sołmenkow 6 kwietnia 2012 Potwierdzono istnienie botnetu Flashfake Mac OS X Igor Sołmenkow 12 marca 2012 Tajemnica Szkieletu Duqu Igor Sołmenkow |
Wcześniej pisaliśmy o innej kampanii, uderzającej w rządy i różne instytucje, zwanej „MiniDuke”, która również wykorzystywała exploity PDF z wersetami z „Boskiej komedii”. W międzyczasie wpadliśmy na trop innych ataków, które używały tego samego kodu exploitów wysokiego poziomu, z tą różnicą, że tym razem celem byli aktywiści ujgurscy.
Wraz z naszym partnerem, laboratorium AlienVault, podjęliśmy się analizy tych nowych exploitów. Artykuł specjalistów z AlienVault, zawierający...
Analizy
Blog
Podczas inspekcji jednego z serwerów centrum kontroli (C&C) MiniDuke'a natrafiliśmy na pliki, które nie są powiązane bezpośrednio z kodem C&C, lecz wydają się być przygotowane pod kątem infekcji podatnych użytkowników za pośrednictwem internetu.
Strona hxxp://[nazwa_hosta_centrum_kontroli]/groups/business-principles.html jest wykorzystywana jako punkt początkowy ataku. Składa się ona z dwóch ramek: jednej do ładowania wabiącej strony z legalnej witryny internetowej (skopiowanej zhttp://www.albannagroup.com/business-principles.html) i drugiej – wykonującej złośliwe działania (hxxp://[nazwa_hosta_centrum_kontroli]/groups/sidebar.html).
...
Analizy
Blog
Przeprowadziliśmy analizę najnowszego warianta tego bota, którym jest Trojan-Downloader.OSX.Flashfake.ab.
Trojan ten jest rozprzestrzeniany za pośrednictwem zainfekowanych stron internetowych jako applet Java, który podszywa się pod aktualizację dla Adobe Flash Playera. Następnie Aplet Java wykonuje downloadera pierwszego etapu, który następnie pobiera i instaluje główny komponent trojana. Głównym komponentem jest trojan downloader, który nieustannie łączy się z jednym z swoich serwerów command-and-control (C&C) i czeka na pobranie i wykonanie nowych komponentów.
Bot lokalizuje swoje serwery C&C według nazw domen generowanych przy użyciu dwóch algorytmów. Pierwszy algorytm opiera się na bieżącej dacie, drugi...
Analizy
Blog
Na pierwszy rzut oka Payload DLL wygląda jak zwykły plik Windows PE DLL skompilowany przy użyciu Microsoft Visual Studio 2008 (wersja linkera 9.0). Kod punktu wejścia jest całkowicie standardowy, jest też jedna funkcja eksportowana przez liczebnik porządkowy 1, która również wygląda jak MSVC++. Funkcja ta jest wywoływana z PNF DLL i w rzeczywistości stanowi „główną” funkcję, która implementuje całą logikę kontaktowania się z serwerami C&C, otrzymując dodatkowe moduły funkcji szkodliwej oraz wykonując je. Najciekawsze jest to, w jaki sposób logika ta została zaprogramowana i jakie wykorzystano narzędzia.
Sekcja kodu Payload...
Analizy
Blog