Na obzoru se objevují nové hrozby, třeste se!

Tyto hrozby jsou realizovány prostřednictvím malware, který se dostává na zařízení obětí obdobným způsobem jako jakýkoliv jiný škodlivý kód.

To znamená, že stejně jako ostatní APT využívá technik sociálního inženýrství, nezáplatovaných systémů, a samozřejmě i zero day zranitelností. Ovšem oproti klasickému malwaru tohoto typu, který pouze skenuje lokální a síťové disky a hledá na nich cenné informace, které následně šifruje a přenáší na nějaký kompromitovaný server kdesi na internetu, je tento malware mnohem sofistikovanější a je tak velice obtížné ho odhalit, protože ho nedetekují ani nástroje na behaviorální analýzu sítě (Network Behavior Analysis, zkr. NBA).

Z podstaty jak tento malware funguje, ho však ani detekovat nemohou. Avšak princip, na jakém tento malware funguje, je velice prostý. Malware kromě citlivých firemních informací ještě vyhledává v profilu uživatele obrázky, do kterých zašifrované citlivé informace vloží za použití digitální steganografie a pak jen počká, až je uživatel sám umístí na nějakou sociální síť nebo svůj blog. Tímto způsobem je možné v podstatě z jakékoliv firmy vynést velice citlivé informace, aniž by někdo pojal sebemenší podezření.

A to není samozřejmě všechno, vzhledem k tomu, že i tento malware, musí mít útočník možnost nějakým způsobem ovládat, jsou opět za pomocí digitální steganografie do obrázků, které se nachází na sociálních a jiných sítích, zakódovány pokyny, které se k oběti dostávají prostým surfováním po internetu a návštěvou stránek, kde se tyto obrázky nacházejí.

Obrovská výhoda tohoto způsobu komunikace mezi malwarem, který se nachází na počítači oběti a útočníkem, spočívá v tom, že objem přenesených dat v obou směrech je naprosto stejný bez ohledu na to, jestli je v obrázku nějaký cenná nebo řídící informace ukryta či nikoliv.

Stejně tak i doba, kdy se tato komunikace a výměna dat mezi obětí a útočníkem odehrává, je naprosto shodná s dobou, kdy oběť na stránky svého zájmu přistupuje, takže není možné detekovat nějakou komunikaci v nestandardním čase.

Oproti klasickým malwarům tohoto typu ani nedochází k navazování komunikace se servery, na které uživatel nikdy v minulosti nezavítal, takže chování uživatele a jeho stroje se po nakažení tímto malwarem též nezměnilo.

Závěr: V podstatě jakýkoliv web, který uživatelům umožňuje vkládat obsah, se může stát C&C serverem (Command and Control server, zkr. C&C), ze kterého malware na počítači oběti získává další instrukce. Instrukce však mohou být uloženy i v reklamním banneru, vzpomeňte, jak funguje malvertisement, nebo i v obyčejném mailu, který se bude tvářit jako reklamní sdělení. Je zřejmé, že tímto způsobem lze poměrně snadno přenášet jakákoliv data, bez toho aniž by o tom měl někdo sebemenší tušení a NBA nástroje jsou proti této hrozbě v podstatě bezzubé.


Pokud vás tento příspěvek zaujal, sdílejte ho!
Share on FacebookShare on LinkedInTweet about this on TwitterShare on Google+Email this to someonePrint this page

Štítky: , ,


K článku “Na obzoru se objevují nové hrozby, třeste se!” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: