Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Flamer/sKyWIper

2012.05.28. 15:32 | buherator | 10 komment

Újabb fejezethez érkezett a Stuxnettel fémjelzett kiberkém-történet. Az iráni CERTCC mai közleményében egy új, célzott támadások során használt adattolvaj szoftver felfedezéséről számolt be, melyet a gyanú szerint ismét államilag szponzorált csoportok készíthettek.

A Flamerként emlegetett szoftver a maga 20 MB-os méretével a Kaspersky sokat tapasztalt kutatói szerint minden bizonnyal valaha látott legkomplexebb károkozó. Funkcionalitását tekintve képes a hálózatokon exploitok illetve legitim Windows szolgáltatásokon terjedni és megfertőzni USB adathordozókat, frissítéset a tucatnyi C&C szerver valamelyikéről SSL-el védett csatornán tölti le. A fertőzött rendszereken folyamatosan monitorozza a hálózati forgalmat, képernyőképeket készít és továbbít, valamint képes a mikrofon és a billentyűzet lehallgatására is. 

A minta a CrySys Laborhoz is eljutott, ahol gyors elemzést tettek közzé az általuk sKyWIpernek keresztelt szoftver főbb jellegzetességeiről. A dokumentumból kiderül, hogy bár a megvalósított funkcionalitás jól felkészült fejlesztőkre és nagy költségvetésre utal, szerkezetileg kevés a hasonlóság a Flamer és a DuQu illetve a Stuxnet között - a terjedéshez használt exploitok közül néhány azonban megegyezik. A különbségeket magyarázhatja, hogy az újonnan felfedezett trójait/férget akár 5-8 év óta fejleszthetik (az egyik komponenst már 2007-ben gyanúsnak találták), de természetesen nem zárható ki az sem, hogy a szoftvert a Stuxnettől független felek készítették. 

A Flamer szokatlanul precíz rejtőzködési technikákat használ, LUA-ban írt moduljait a felinstallált biztonsági szoftverekhez igazodva tölti be több mint 300 minta alapján. Szintén érdekes, hagyományos kártevőktől szokatlan megoldás, hogy bizonyos futás során gyűjtött (meta)adatokat a trójai titkosított SQLite adatbázisban tárol. Gyanús, hogy a szoftvert nagy kiterjedésű hálózatokba szánták, ami valamelyest alátámaszthatja a komplex adatstrúktúrákra történő támaszkodást.

Az elemzés a fentieken túl öt különböző titkosítási/obfuszkációs eljárást és különböző saját fájlformátumok használatát is feltárta, de még rengeteg munkára van szükség ahhoz, hogy a kártevő céljáról és működéséről tiszább, koherensebb képünk legyen (a Stuxnet huszad ekkora volt, azt fél évig elemezték). Ha kikerül további információ, frissítem a posztot.

Friss: Kikerült a Symantec riportja is. Fő célterületek: Ciszjordánia, Magyarország, Irán, Libanon - ritkán kerülünk ilyen társaságba!

Friss2: Sophos blogposzt a témában, lényegében a CrySys és a Kaspersky jelentéseiből ollózva. A McAfee-tól Szőr Péter ragadott billentyűzetet, közzétével a cég által észlelt fertőzések helyszíneit.

Friss3: Friss agymenésem+napi összefoglaló a témában itt olvasható. A Kaspersy tovább elemezte a kódot, a friss eredmények itt ovlashatók. Számomra a legérdekesebb újdonság a Beetlejuice modul, ami Bluetooth-on néz körül a fertőzött gép környezetében, illetve hírdetheti is magát: elképzelem az ügynököt, ahogy csak végigsétál a géptermen, miközben a zsebében a telefonja felméri, hány gépet sikerült befertőzni eddig...

Friss4: Érdekes Jerusalem Post cikk, utalásokkal az izraeli háttérre. (Köszi _2501!)

Címkék: irán kaspersky stuxnet crysys duqu flamer skywiper

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

domi007 2012.05.29. 13:24:05

Vajon mink van, ami ennyire érdekel valakiket? :O

domi007 2012.05.29. 13:27:05

@buherator: Már azt is le lehet tölteni? :)

w32-blaster 2012.05.29. 13:50:52

@domi007: A symantec linket böngészve én leginkább az olajra tudok gondolni. A MOL eléggé előkelő helyen van világ viszonylatban olyan szempontból, hogy mennyi befektetésből mennyit "csavar" ki ...

DeToXXX 2012.05.29. 15:20:02

most akkor a zsidók vannak a spájzban? 8)

synapse · http://www.synsecblog.com 2012.05.30. 14:24:03

DeToXXX: Ezt legyszives vidd innen.

buherator · http://buhera.blog.hu 2012.05.30. 16:44:59

@synapse: Kínaizni meg oroszozni szoktunk, szóval zsidózni is lehet (+ lásd a legfrissebb frissítést). Egy sudribunkót viszont már kimoderáltam.

ÁrPi 2012.05.31. 11:27:09

@synapse:

" Nicht kompót! Nicht kompót! " 8-)

Tyra3l 2012.06.02. 17:10:29

"Kikerült a Symantec riportja is. Fő célterületek: Ciszjordánia, Magyarország, Irán, Libanon - ritkán kerülünk ilyen társaságba!"

hehe, ebből nekem is először Izrael jutott valamiért eszembe.
úgy tűnik hogy van még azért valaki aki komolyan veszi a jobbikot. :)

Tyrael