Na obzoru se objevují nové hrozby, třeste se! – 3. díl

Tenhle nový polymorfní malware, využívaný v rámci APT, je vážně síla, aby ho nebylo možné tak snadno detekovat, využívá v podstatě stejnou kryptografickou techniku, jakou nasadili distributoři her, filmů a hudby k ochraně svých děl.

Samotný útok probíhá nám již známým způsobem, infiltrate – gather data – exfiltrate. Do počítače oběti se nejprve stáhne tzv. zavadeč (loader). Jedná o drive-by download malware, který momentálně zneužívá např. (zero day) zranitelnosti Flashe nebo Javy. A poté, co se stáhne a spustí, tak v tichosti čeká, až nebohá oběť navštíví webovou stránku, na které se nachází jeho hlavní část.

Ta je ukryta v naprosto nevinném textu na stránce, na kterou uživatel běžně přistupuje, takže nedochází k navazování spojení s nějakým neznámým serverem a tudíž nemůže být detekována ani nějaká nestandardní komunikace. Pro tuto taktiku, kdy se nakazí nějaká webová stránka, na kterou se dá očekávat, že oběť zavítá, se v poslední době ujal pojem „watering hole“.

Poznámka: Co jsem posledně možná zapomněl zmínit, je, že zašifrovaný kód nemusí být uložen jen v textu, ale kdekoliv, třeba i v samotném kódu stránky, to ale není tak časté. A je jedno, zda máte povolený JS nebo ne, protože webová stránka se do vašeho počítače stáhne vždy kompletní, včetně komentářů a veškerého kódu.

Poté, co je zavaděčem dešifrován stažený kód (o použité steganografické technice jsem psal již v minulém díle), dojde k vygenerování jedinečného šifrovacího klíče, který je sestrojen na základě informací získaných z vašeho zařízení. V podstatě je z informací o HW a SW konfiguraci vašeho zařízení vytvořen podobný otisk, jako se vytváří u techniky označované CDI, kterou používají některé banky k ověření identity stroje v rámci FDS.

A tímto klíčem je pak zašifrován stažený kód (payload). Asi vám již došlo, že se nejedná o nic jiného, než o tzv. host-identity based encryption. Je zřejmé, že každý malware pak vypadá jinak, takže vytvořit pro něj nějakou signaturu je velice obtížné a navíc na jiném zařízení nelze jeho chování ani analyzovat, protože pomocí klíče, který se na jiném zařízení stejným způsobem sestaví, nedojde k dešifrování jeho kódu, a tedy se vůbec nespustí.

Vzhledem k tomu, že malwaru nějakou dobou trvá, než posbírá požadovaná citlivá data, především proto, že komunikace mezi malwarem a C&C serverem a malwarem a drop zónou je navazována pouze v okamžiku, kdy oběť navštíví web, který tuto funkci plní, musí se malware na daném zařízení nějak maskovat. To provádí zpravidla tak, že skrývá svůj proces, aby nebyl vidět ve správci úloh, a používá i další klasické techniky k tomu, aby nebyl detekován AV prostředkem, ale to už není tak zajímavé.

Důvod, proč i pokročilá řešení, která by nás měla před tímto malwarem chránit, selhávají, je ten, že není vzhledem k použité technice watering hole detekována žádná nestandardní komunikace. Veškeré informace jsou vyměňovány v rámci aktuálního sezení uživatele, není navazována komunikace s žádnými jinými servery, a objem přenesených dat zůstává víceméně též stejný.

Pokud vás tento příspěvek zaujal, sdílejte ho!
Email this to someone
email
Share on LinkedIn
Linkedin
Tweet about this on Twitter
Twitter
Share on Facebook
Facebook
Print this page
Print

Štítky: , ,


K článku “Na obzoru se objevují nové hrozby, třeste se! – 3. díl” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: