Kanały RSS
Poziom zagrożenia: 1
Stefan Ortloff
W skrócie
- Backdoor.OSX.Mokes to niedawno wykryty wariant wieloplatformowego backdoora dla systemu OS X, który potrafi działać na wszystkich głównych systemach operacyjnych (Windows, Linux, OS X). Dostępna jest również nasza analiza dotycząca wariantów dla systemu Windows i Linux.
- Opisywana rodzina szkodliwego oprogramowania potrafi kraść różne rodzaje danych z maszyny ofiary (zrzuty ekranu, przechwycone dane audio/wideo, dokumenty biurowe, uderzenia klawiszy)
- Backdoor potrafi również wykonywać losowe polecenia na komputerze ofiary
- W celu komunikacji wykorzystuje mocne szyfrowanie AES256CBC
Informacje wprowadzające
W styczniu tego roku zidentyfikowaliśmy nową rodzinę backdoorów wieloplatformowych stworzonych dla środowisk desktopowych. Po wykryciu binariów dla systemów Linux i Windows w końcu trafiliśmy na wersję Mokes.A, stworzoną dla systemu OS X. Została ona napisana w języku C++ przy użyciu...
Analizy
Blog
Wprowadzenie
Niedawno trafiliśmy na nową rodzinę backdoorów wieloplatformowych dla środowisk desktopów. Najpierw zdobyliśmy wariant dla Linuksa. Przy użyciu informacji wydobytych z jego elementu binarnego zdołaliśmy również znaleźć wariant dla desktopów z Windowsem. Obie wersje były dodatkowo wyposażone w ważną sygnaturę podpisywania kodu. Przyjrzyjmy się im.
DropboxCache znany również jako Backdoor.Linux.Mokes.a
Ten backdoor dla systemów operacyjnych opartych na Linuksie został spakowany za pośrednictwem UPX i zawiera funkcje służące do monitorowania działań ofiary, łącznie z kodem zapewniającym przechwytywanie dźwięku i wykonywanie zrzutów ekranu.
Po pierwszym wykonaniu element binarny sprawdza własną ścieżkę pliku i, w razie konieczności, kopiuje się do jednej z poniższych...
Kilka miesięcy później nasi analitycy natknęli się na nową wersję szkodliwego oprogramowania odpowiedzialnego za przyłączanie komputerów do botnetu ze znacznymi zmianami w protokole komunikacji oraz nowymi „funkcjami”, takimi jak infekowanie dysków flash czy kradzież portfela bitcoinów.
Z przyjemnością informujemy, że we współpracy z CrowdStrike Intelligence Team, Honeynet Project oraz Dell SecureWorks zdołaliśmy rozbić ten nowy botnet.
W zeszłym tygodniu ustawiliśmy rozproszone na całym świecie maszyny w celu przeprowadzenia operacji zasysania (sinkholing) i w środę 21 marca rozpoczęliśmy zsynchronizowane rozprzestrzenianie adresu IP naszego leja (sinkhole)...
Analizy
Blog
O: Kelihos to stosowana przez Microsoft nazwa botentu określanego przez Kaspersky Lab jako Hlux. Hlux jest botnetem peer-to-peer o architekturze podobnej do tej stosowanej dla botnetu Waledac. Składa się z warstw różnych rodzajów węzłów: kontrolerów, ruterów i pracowników.
P: Co to jest botnet peer-to-peer?
O: W przeciwieństwie do klasycznego botnetu, botnet peer-to-peer nie wykorzystuje scentralizowanego serwera kontroli (C&C). Każdy członek sieci może działać jako serwer oraz/lub klient. Z punktu widzenia szkodliwego użytkownika zaletami takiej struktury jest pominięcie centralnego C&C jako pojedynczego punktu awarii. Z naszego punktu widzenia tego rodzaju botnet jest znacznie trudniejszy do zniszczenia.
Architektura tradycyjnego botnetu oraz botnetu P2P:
P: Kiedy Hlux/Kelihos został po raz pierwszy wykryty na...
Analizy
Blog
Podczas tej popularnej imprezy poruszono szerokie spektrum tematów, podzielonych na sześć różnych wątków: Community, Culture, Hacking, Making, Science and Society.
Wszystkie rozmowy były podzielone na grupy i nagrywane.
Wczoraj rozpoczęła się również nowa, niezależna od CCC impreza o nazwie BerlinSides, która skupia się na bezpieczeństwie informatycznym i jest organizowana przez Aluc.TV oraz SecurityBsides.com. Odbywa się w jednym z najstarszych miejsc hakerskich na świecie, sławnej berlińskiej c-base.
©Kaspersky Lab
Kaspersky Lab Polska Sp. z o.o.