Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Winnti + Akasztják a hóhért

2013.04.16. 12:54 | buherator | Szólj hozzá!

Az ehavi célzott malware Kaspersky-éknél az MMORPG-ben utazó játékgyártókat célzó Winnti. A kártevő felfedezése egy véletlennek köszönhető: a biztonsági cégek még 2011-ben figyeltek fel egy nagy számú online játékost érintő támadássorozatra, melynek forrássa a játékgyártó frissítőszervere volt. A gyártónál történő nyomozás felderítette, hogy a játékosoknál detektált kódok feltehetően nem szándékosan kerültek a frissítő kiszolgálókra (64-bites binárist terjesztettek a 32-biten futó felhasználóknak is, a kártevők pedig nem aktiválódtak automatikusan) - bár többmillió felhasználó lefertőzése kétségtelenül vonzó potenciális lehetőség lehet.

A támadás valódi célja vélhetően inkább ipari kémkedés, illetve érvényes digitális tanúsítványok megszerzése lehetett - utóbbiak igen jó szolgálatot tehetnek más támadások erősítéséhez. A támadás a már megszokott (?) célzott adathalászat+trójai sémára épült, a szálak pedig újfent Kínába vezetnek. 

+++

Technikai szempontból sokkal érdekesebb a malware.lu és az itrust közös kutatása, melyben a híres Mandiant jelentés tárgyát képző APT1 csoportot gyakorlatilag visszahackelték a luxemburgi malware vadászok. Ehhez először is egy, a támadások során használt, publikusan is elérhető Poison Ivy RAT-t érintő sérülékenységet használtak ki, miután sikerült kipörgetniük a C&C jelszavát. Erre az incidensre azonban az üzemeltetők a szokatlan hálózati kapcsolatok alapján felfigyeltek, így a későbbi információszerzéshez egy speciális shellkódot kellett használni, ami a Poison Ivy által használt socketet lecserélte egy bind shellre, így a kommunikáció az eredeti proxyn keresztül folyhatott tovább. 

A Poison Ivy szerverek vizsgálata a korábbiakban nem látott részletességű képet rajzolt az APT1 működéséről, részletesen bemutatva a támadó infrastruktúrát, az áldozatokat, a tőlük gyűjtött információkat, valamint a felhasznált eszközöket is. A támadók célpontonként dedikált C&C-Proxy szerver párokat használtak, és néhány esetben kifejezetten a "kliensre" szabott távoli elérést biztosító szoftvereket készítettek. A begyűjtött információk a bevett intézmények hálózatainak mélyéről származnak, a hálózati szeparáció tehát nem állta útját a behatolóknak. Nem meglepő, hogy a Poison Ivy szervereken ismét kínai nyelvű Windows-ok futottak...

Az ellentámadás azonban itt nem állt meg: az egyik egyedi fejlesztésű, Terminatorként hivatkozott trójaiban sikerült ugyanis egy távoli kódfuttatásra alkalmas puffer túlcsordulást felfedezni, így a luxemburgiak végigpásztázták pár IP tartományt, és az általuk csak "Judgement Day"-nek keresztelt exploittal befoglalták a vezérlő szervereket is - ezek tartalmáról azonban a tanulmány már nem tesz érdemi említést.

Az említett scannerek és exploitok megtalálhatók a linkelt tanulmányban, aki elég bátor, elkezdheti hackelni a kínaiak gépeit :) 

Címkék: kína terminator trójai kaspersky rat poison ivy malware.lu itrust apt1 mandiant winnti

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.