Пользователи Tor рискуют стать частью ботнета

Тема в разделе "Новости информационной безопасности", создана пользователем akok, 29 окт 2014.

Метки:
  1. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Специалисты из Leviathan Security Group обнаружили на территории России узел анонимной сети Tor, который используется злоумышленниками для скрытой инсталляции на компьютеры пользователей вредоносного ПО.

    Схема инфицирования очень проста: узел дожидается момента, когда пользователь Тор попытается скачать двоичный исполняемый файл. Прежде чем передать этот файл пользователю, вредоносный узел дописывает в конец файла свой код. Пользователь получает запрошенную программу и запускает ее. По завершению работы программы, управление передается коду от злоумышленников. Производится загрузка и инсталляция программы класса «троянский конь» и компьютер пользователя становится частью ботнета. Другими словами, используется классическая схема атаки MiTM («Человек посередине»). Администраторы Tor проинформированы. Предпринимаются активные меры по устранению угрозы. Специалисты по компьютерной безопасности, пользуясь случаем, еще раз предупреждают, что Tor не является средством обеспечения безопасности. Это средство только средство анонимизации, причем с весьма сомнительной эффективностью

     
    Dragokas и orderman нравится это.
  2. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Прикольно, что об этом говорит некая фирмочка (агентство по исследованию) подконтрольная спецслежбам США. :Biggrin:
    С чего бы это ей так стараться. :Biggrin:

    www.leviathansecurity.com
    левиаф.png

    Ну да, центр всеобщего шпиёнажа, разумеется находится в России, а не в США, мелкоБритании и Австралии. :Biggrin:
     
  3. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.857
    Симпатии:
    1.842
    Dragokas, ScriptMakeR и SNS-amigo нравится это.
  4. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Phoenix, в точку!
    --- Объединённое сообщение, 29 окт 2014, Дата первоначального сообщения: 29 окт 2014 ---
    = Кручёный, изворотливый, скользкий.
     
    Phoenix нравится это.
  5. petr-ru
    Оффлайн

    petr-ru Пользователь

    Сообщения:
    62
    Симпатии:
    31
    Что-то опять журналисты не того... либо плохо перевели (лень искать первоисточник), либо написали новость в меру своего понимания: ведь чтобы зловредный код выполнилися его недостаточно записать в конец файла.
     
  6. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    petr-ru, этой новости сто лет в обед, каждый год по новой переиначивают.
    И так лет пятнадцать уже. :Rofl:

    А источник нынешней новости вам должен быть хорошо известен, в смысле ресурс.
    xakep.ru/tor-russia/

    Там и ссылка на первоисточник есть
    https://lists.torproject.org/pipermail/tor-talk/2014-October/035340.html
     
    Последнее редактирование: 30 окт 2014
  7. petr-ru
    Оффлайн

    petr-ru Пользователь

    Сообщения:
    62
    Симпатии:
    31
    В общем так: нашел оригинал новости на leviathansecurity.com, там все подробности (хеши файлов) есть. Качнул зараженный procexp. Очень интересно. Очень.

    Мой мини-реверс:
    1. Заражение очень странное - поменяна даже Pdb (путь), что говорит о том, что заражена или другая версия (было это давно), либо это фейковая новость.
    2. Заражение реально есть. Причем EP не меняли, внедрили код прям в середину.
    3. Сам зараженный файл на VT встречается впервые - неделю назад, а тот зловред, которого он дропает - 10 месяцев назад.
    4. Либа, которую доропает зловред, дропнутый на третьем пункте встречается впервые чуть больше года назад.
    5. С учетом того, что там явный бэкдорский функционал, а либа старая, то сервера, на которые она долбится (из контекста рандлл) - давно сдохли.

    Картину вижу таковой: специально для новости было вручную произведено заражение нескольких файлов чуть ли не первым попавшимся под руку зловредом и запилена статья.
    Остальные файлы заражаются вроде по такой же схеме (посмотрел некоторые только). Но, то, что на какой-то выходной ноде стоит такой хитрый инфектор исключить нельзя, технически это можно сделать, смущает следующее: нафига он заражает файлы древним палящимся зловредом без явной логики работы.
     
    Dragokas и SNS-amigo нравится это.
  8. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    petr-ru, я ж говорю, сто лет в обед.
    Все "новенькое" ради статьи. А по чьему заказу пугалка, уже выше сказано. :Big Boss:
    Вся заказная спец.работа у них на "агентствах", которых великое мнжество.
     
    Последнее редактирование: 30 окт 2014
  9. petr-ru
    Оффлайн

    petr-ru Пользователь

    Сообщения:
    62
    Симпатии:
    31
    Про их профит можно построить несколько версий, какая из них вам кажется наиболее вероятной?
    Трудозатраты на это оцениваю так:
    - неделя на кодинг/отладку/заражение
    - пару дней на поднятие такой ноды
    - пару дней на написание статьи и ее рассылки
    - этап планирования, переговоров о создании данного инцедента - дня три

    Профит должен это покрыть.
     

Поделиться этой страницей