Na obzoru se objevují nové hrozby, třeste se! – 2. díl

Neuplynul ještě ani měsíc a máme tady další generaci toho nejhoršího malwaru, jenž spatřil světlo tohoto světa.

Spousta bezpečnostních expertů je přesvědčena, že je jejich IDS/IPS, UTM/XTM, NGFW zařízení spolu s AV ochranou na stanicích ochrání před APT, jejichž cílem je získání cenných informací, jež útočníkovi umožní získat konkurenční výhodu na trhu. Neochrání, neboť malware se stává stále sofistikovanějším a techniky sociálního inženýrství, byly, jsou a nadále i budou úspěšně využívány k jeho distribuci, a to i ve společnostech, kde mají zavedenou vícevrstvou ochranu, používají host based i network based řešení, mají aktualizované systémy a věnují se osvětě na poli informační bezpečnosti.

Uvědomte si, že v tomhle businessu se točí obrovské množství peněz a s informacemi se na černém trhu obchoduje jako s jakoukoliv jinou komoditou, a zatímco vaše firma se musí snažit zabezpečit své informace v podstatě před všemi možnými hrozbami, tak útočníkovi stačí najít jen jednu jedinou zranitelnost ve vašem systému. Útočníkovi se vyplatí investovat trochu svého času, úsilí i peněz do vývoje nebo nákupu vhodného exploitu, který zneužívá zranitelnosti nultého dne nebo sepsání mailu cíleného na jednu konkrétní osobu ve vaší organizaci, tzv. spear phishing.

Bez ohledu na to, jakým způsobem se škodlivý kód do vaší společnosti dostane, a vězte, že on se tam dostane, tak malware ještě musí nějakým způsobem cenné informace dostat ven. Zde mnozí až příliš spoléhají na různá NBA řešení, z nichž bohužel většina nemá příliš velkou šanci tento datový tok zachytit a označit jako podezřelý. Jestliže jsem minule psal, že instrukce pro tento malware mohou být ukryty v naprosto nevinném obrázku, tak vězte, že instrukce mohou být ukryty i v naprosto nevinném textu a to na jakémkoliv webu. Ona totiž existuje i lingvistická steganografie a ta v posledních měsících nabývá opět na významu.

Způsob, jak tento malware funguje, je tak prostý, až je geniální a bezpečností experti jen zírají v němém úžasu. Tento malware totiž v naprosté tichosti sleduje činnost uživatele, především jeho maily a internetové stránky, které uživatel navštěvuje a pozorně analyzuje jejich obsah. Algoritmus, pomocí kterého tento malware získává z textu instrukce je směšně jednoduchý a využívá v podstatě tzv. šifrovací mřížky. Jedná se tedy oproti malwaru, který se šířil v předchozích měsících, o významný posun, neboť tehdy byly řídící kódy ukryty v komentářích, jež obsahovaly na první pohled zcela nesmyslný text nebo byly zakódovány v podobě sériových čísel či různých kódů produktů obsahujících po dešifrování adresu C&C serveru.

Asi vám již patrně dochází, že do celého článku lze poměrně efektně ukrýt v podstatě celou instrukci a žádný C&C server nacházející se v nějaké exotické zemi již nemusí být kontaktován a o nějaké nestandardní komunikaci, kterou by NBA nástroj mohl zachytit, nemůže být vůbec řeč. Tímto způsobem se může stát v podstatě jakýkoliv web C&C serverem, třeba i ten váš, pokud umožňujete svým návštěvníkům vkládat obsah. Jakým způsobem pak dostane malware ty citlivé informace, které posbíral, ven, to už zde snad ani nemá cenu psát, na to zcela jistě přijdete sami.


Pokud vás tento příspěvek zaujal, sdílejte ho!
Share on FacebookShare on LinkedInTweet about this on TwitterShare on Google+Email this to someonePrint this page

Štítky: , , ,


K článku “Na obzoru se objevují nové hrozby, třeste se! – 2. díl” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: