Ботнет TDL4 перешел на новый этап эволюции

Тема в разделе "Новости информационной безопасности", создана пользователем Саныч, 31 окт 2011.

  1. Саныч
    Оффлайн

    Саныч Активный пользователь

    Сообщения:
    869
    Симпатии:
    1.697
    Ведущий научный сотрудник ESET Дэвид Харли сообщил, что за то время, пока он и его сотрудники наблюдали за TDL4, они отметили переход бот-сети на новый этап эволюции.

    Эти изменения, отметил он, могут быть сигналом того, что либо команда, разрабатывающая вредоносную программу сменилась, либо что разработчики начали сдавать в аренду буткит-билдер другим группам киберпреступников.

    Дроппер ботнета, утверждает он, отсылает массу информации для выслеживания в командно-контрольный сервер во время установки руткита в систему. В случае какой-либо ошибки, по словам Харли, руткит посылает сообщение о комплексной ошибке, что дает разработчикам вредоносного ПО достаточно информации для того, чтобы определить причину неисправности.

    Все это, пишет Харли в своем последнем посте, свидетельствует о том, что бот все еще находится в стадии разработки.

    "Мы также нашли способ противодействия бот-трекеру на основе виртуальных машин: во время установки вредоносного ПО он проверяет, можно ли в данный момент запустить дроппер в среде виртуальной машины и эта информация отсылается на командно-контрольный сервер. Конечно, вредоносное ПО, которое запускается в виртуальной среде, не представляет из себя ничего необычного в мире современного вредоносного ПО, но в мире TDL это кое-что новое", - говорит он.

    Одно из самых интересных направлений эволюции бот-сети, отмечает Infosecurity, это то, что изменилось расположение скрытой файловой системы.

    В отличие от предыдущей версии, которая, как пишет Харли, была способна хранить не более 15 файлов - независимо от размера занятого пространства - мощность новой файловой системы ограничивается размером вредоносных разделов.

    Файловая система, представленная в последней модификации вредоносной программы, более продвинутая, чем ранее, отметил Харли, добавив, что, например, вредоносное ПО способно обнаружить повреждение файлов, хранящихся в скрытой файловой системе, путем вычисления контрольной суммы CRC32 и сравнивая ее со значением, хранящимся в заголовке файла.

    В случае, если файл поврежден, он удаляется из файловой системы.

    На Avecto Марк Остин, специалист по Windows, сказал, что удаление прав администратора поможет добавить дополнительный уровень защиты в непрекращающейся борьбе против кодеров-злоумышленников.

    "TDL4 – это вредоносный код, который охватывает как аспекты устранения конкурентов, типа Zeus, так и добавления технологий, которые делают обычный шаблонный/эвристический анализ намного более трудным", - объясняет он.

    Удаление прав администратора, продолжил он, это мощный инструмент, являющийся частью многослойной стратегии IT-безопасности в постоянно ведущейся борьбе с вредоносным ПО во всех его формах и проявлениях.

    "Даже если вам, например, "повезло" обнаружить одну или несколько учетных записей, скомпрометированных с помощью фишинг-атаки, тот факт, что учетная(ые) запись(и) ограничены в своих действиях поможет снизить негативный эффект от проблем, связанных с нарушением информационной безопасности", - добавил он.

    Такое вредоносное ПО, как это, сказал Остин, почти наверняка развивается, киберпреступники, усовершенствовав некоторые функции, удалив старый код и добавив новые элементы, получают возможности воспользоваться вновь открывшимся направлениями для атак.

    "Не надо быть гением, чтобы понять, что победит новое эволюционировавшее поколение вредоносных программ – или, что особенно важно, совершенно новый код вредоносного ПО. Что необходимо, так это тщательно спланированная стратегия, с хорошо продуманной реализацией, использующая несколько элементов безопасности, которые, при их сочетании, дадут больший эффект, чем сумма их компонентов", - отметил он.

    "Привилегированное управление учетной записью может существенно помочь IT-специалистам в этом, поскольку станет дополнительным бастионом в их системе обороны. Это часть GRC-управления, концепции анализа рисков и совместимости – система, на которой основывается вся современная система IT¬-управления безопасностью", - добавил он.



    источник
     
    6 пользователям это понравилось.
  2. onthar
    Оффлайн

    onthar Активный пользователь

    Сообщения:
    31
    Симпатии:
    63
    Странно, что не так много пишут о рутките ZeroAccess, который тоже довольно распространен и тяжело выводим из системы.
     

Поделиться этой страницей