Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Flamer/sKyWIper összefoglaló

2012.06.10. 21:00 | buherator | Szólj hozzá!

Bár múlt heti ígéretemnek nem tudtam eleget tenni, a hétvége viszonylagos nyugalmát kihasználva megpróbálom összefoglalni az elmúlt napok eseményet a sKyWIper/Flame/Flamer kártevővel kapcsolatban - bár új információk megjelenése most is órákon belül várható.

A Windows Update fiaskója után azt hiszem végleg eldőlt, hogy a kártevő egy minden valószínűség szerint egy vagy több nagy befolyással bíró szervezet, állam által fejlesztett fegyver. Ezt az álláspontot erősíti meg Marc Stevens, a 2007 év végi MD5 ütköztetés egyik koponyájának közleménye, mely szerint a manipulált tanúsítvány egy eddig ismeretlen kriptográfiai támadással készült, tehát az szoftver bevetését igen komoly, titokban folytatott kutatásnak kellett megelőznie. A befektetett munkának azonban impresszív eredménye lett: a Microsoft hétfői rendkívüli javítását lényegében csak úgy lehet telepíteni, hogy ezzel az ember éppen a Flamer benyalását kockáztatja (még ha a támadás célzottsága miatt ennek az esélye minimális is). Az új támadás részleteiről egyébként Alex Sotirov holnap előadást tart a Summerc0n konferencián. A régebbi támadás gyakorlati alkalmazásáról itt olvasható egy jó összefoglaló. 

Ennek fényében a sKyWIper működésének feltérképezésére irányuló kísérletek eredményei is más színezetet kapnak: A Kaspersky szakértői a GoDaddy-vel és az OpenDNS-sel együttműködve eltérítettek egyes vezérlő számítógépekre vonatkozó DNS kéréseket a saját hálózatukba, hogy jobban megvizsgálhassák azokat. Már maguknak a céldomaineknek a felderítése a 80 feltárt domainnel és a regisztrációkhoz használt hamis identitások garmadájával is mutatja az akció volumenét. Mint a beérkező adatokból kiderült, a Flamer HTTP csomagokon keresztül kommunikál, üzeneteit egyszerű XOR eljárással obfuszkálja - ez már elég a legtöbb hálózatból történő kitöréshez. Az adatok megfejtése után kiderült, hogy a kártevő számos verzióban működik, a legfrissebb megfigyelt a 2.243-as azonosítót kapta - az értékből és a felbontás pontosságából tippelhetünk akár a szoftver korára is. 

Az irányítás részleges elvesztésére természetesen a támadók is hamar reagáltak egy speciális önmegsemmisítő modul telepítésével. Bár a Flamernek eleve elküldhető egy SUICIDE parancs, a Symantec honeypotjaiba a lépés nyomán egy teljesen új modul esett be, ami egy hosszú beégetett lista alapján írja felül és törli a kártevő fájljait, önmagát is beleértve. A lista remélhetőleg új nyomokhoz is elvezeti majd a szakértőket. A Symantec munkatársai ezen kívül összeállítottak egy listát a sKyWIper "appjairól", demonstrálandó a kártevő adatgyűjtő képességeit. A tekintélyes méretű lista legérdekesebb elemei a hagyományos hálózati felderítést, illetve elterjedt fájlformátumok feldolgozását végző elemek mellett megtalálható kevésbé gyakori szoftverek, pl. FTP kliensek,  távoli elérést biztosítő szoftverek - a kíváncsiskodók minden bizonnyal jól informáltak voltak a célpontok szoftver preferenciáit illetően.

Miközben pedig a világ tekintete a Flameren csüng (de vicces szó ez :), a Gofas trójai a jól megszokott banki adatok helyett AutoCAD fájlokra vetett szemet áthelyezve a célcsoportot az egyszeri felhasználókról sokkal érdekesebb célpontok irányába. A szellem bizony kiszabadult a palackól.

Címkék: microsoft windows hírek windows update md5 flamer skywiper gofas

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.