Na obzoru se objevují nové hrozby, třeste se! – 3. díl

Tenhle nový polymorfní malware, využívaný v rámci APT, je vážně síla, aby ho nebylo možné tak snadno detekovat, využívá v podstatě stejnou kryptografickou techniku, jakou nasadili distributoři her, filmů a hudby k ochraně svých děl.

Samotný útok probíhá nám již známým způsobem, infiltrate – gather data – exfiltrate. Do počítače oběti se nejprve stáhne tzv. zavadeč (loader). Jedná o drive-by download malware, který momentálně zneužívá např. (zero day) zranitelnosti Flashe nebo Javy. A poté, co se stáhne a spustí, tak v tichosti čeká, až nebohá oběť navštíví webovou stránku, na které se nachází jeho hlavní část.

Ta je ukryta v naprosto nevinném textu na stránce, na kterou uživatel běžně přistupuje, takže nedochází k navazování spojení s nějakým neznámým serverem a tudíž nemůže být detekována ani nějaká nestandardní komunikace. Pro tuto taktiku, kdy se nakazí nějaká webová stránka, na kterou se dá očekávat, že oběť zavítá, se v poslední době ujal pojem „watering hole“.

Poznámka: Co jsem posledně možná zapomněl zmínit, je, že zašifrovaný kód nemusí být uložen jen v textu, ale kdekoliv, třeba i v samotném kódu stránky, to ale není tak časté. A je jedno, zda máte povolený JS nebo ne, protože webová stránka se do vašeho počítače stáhne vždy kompletní, včetně komentářů a veškerého kódu.

Poté, co je zavaděčem dešifrován stažený kód (o použité steganografické technice jsem psal již v minulém díle), dojde k vygenerování jedinečného šifrovacího klíče, který je sestrojen na základě informací získaných z vašeho zařízení. V podstatě je z informací o HW a SW konfiguraci vašeho zařízení vytvořen podobný otisk, jako se vytváří u techniky označované CDI, kterou používají některé banky k ověření identity stroje v rámci FDS.

A tímto klíčem je pak zašifrován stažený kód (payload). Asi vám již došlo, že se nejedná o nic jiného, než o tzv. host-identity based encryption. Je zřejmé, že každý malware pak vypadá jinak, takže vytvořit pro něj nějakou signaturu je velice obtížné a navíc na jiném zařízení nelze jeho chování ani analyzovat, protože pomocí klíče, který se na jiném zařízení stejným způsobem sestaví, nedojde k dešifrování jeho kódu, a tedy se vůbec nespustí.

Vzhledem k tomu, že malwaru nějakou dobou trvá, než posbírá požadovaná citlivá data, především proto, že komunikace mezi malwarem a C&C serverem a malwarem a drop zónou je navazována pouze v okamžiku, kdy oběť navštíví web, který tuto funkci plní, musí se malware na daném zařízení nějak maskovat. To provádí zpravidla tak, že skrývá svůj proces, aby nebyl vidět ve správci úloh, a používá i další klasické techniky k tomu, aby nebyl detekován AV prostředkem, ale to už není tak zajímavé.

Důvod, proč i pokročilá řešení, která by nás měla před tímto malwarem chránit, selhávají, je ten, že není vzhledem k použité technice watering hole detekována žádná nestandardní komunikace. Veškeré informace jsou vyměňovány v rámci aktuálního sezení uživatele, není navazována komunikace s žádnými jinými servery, a objem přenesených dat zůstává víceméně též stejný.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky: , ,


K článku “Na obzoru se objevují nové hrozby, třeste se! – 3. díl” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: