Sykipot: взгляд изнутри

Тема в разделе "Новости информационной безопасности", создана пользователем Mila, 1 фев 2012.

  1. Mila
    Оффлайн

    Mila Команда форума Основатель

    Сообщения:
    4.970
    Симпатии:
    13.602
    На протяжении последнего времени троян Sykipot неоднократно атаковал компьютеры различных компаний, большинство из которых принадлежало к оборонной промышленности. Основная цель трояна — похищение интеллектуальной собственности (чертежи, бизнес-планы, техническая документация) и передача на удалённый сервер. Для проникновения на компьютеры пользователей троян использует уязвимости нулевого дня — в частности, 1 декабря была проведена масштабная атака, использующая такую уязвимость в Adobe Reader и Acrobat.

    Каждой атаке Sykipot присваивался уникальный цифровой код, состоящий из нескольких букв и даты нападения, который записывался в тело самого трояна. В некоторых случаях ключевое слово, предшествующее цифрам, представляло собой название папки поддомена использующего ее сервера. Компании Symantec удалось добыть список таких идентификаторов, вот некоторые из них.

    alt20111215
    auto20110413
    auto20110420
    be20111010
    webmail20111122
    world20111205

    Такие маркеры вирусных атак позволяют злоумышленникам отслеживать атаки на разные фирмы и организации.

    Вирусописатели также оставили дополнительные метки, которые позволяют понять, какой сервер используется в качестве промежуточного при внедрении нового исполняемого файла на компьютер жертвы. Кроме того, по словам экспертов Symantec, они могут с уверенностью подтвердить тот факт, что, помимо этого, этот же сервер на определённом этапе также использовался как сервер управления (C&C). Сам сервер располагается в Пекине и принадлежит одному из крупнейших китайских провайдеров. Более того, одна из атак была совершена из китайской провинции Чжэцзян (Zhejiang). За последние пару месяцев на сервере располагались более чем сотня вредоносных файлов, многих из которых использовались в атаках Sykipot.

    Многие файлы представляют собой заражённые исполняемые pdf-файлы, содержащие вредоносный код, запускающий Sykipot. Там же можно найти и утилиты, используемые уже после внедрения первого вредоноса, например, gsecdump, которая делает дамп паролей, хранящихся у пользователя. Специалистам также попались на глаза шаблоны Microsoft Office, эксплуатирующие уязвимость, связанную с переполнением стека при работе с RTF (BID 44652). Многие из этих файлов не генерируются прямо в системе, а создаются где-то еще, а только потом копируются. Обычно источниками их появления служат FTP и внешние носители.

    Файлы могли также попасть на компьютер после того, как пользователи запускали один из популярных в Азии IM-клиентов. Отследить с его помощью, кто именно раздавал вредоносное ПО, не удалось.

    Наконец, Symantec стали известны некоторые домены, связанные с трояном Sykipot:

    altchksrv.hostdefence.net
    data.wilsoncallcenter.com
    help.newcarstyle.com
    info.capestonecounty.com
    info.facebook-support.org
    info.wilsoncallcenter.com
    live.tech-att.com
    mail.sixnationtalk.com
    service.1inkedin.net
    bodyshowworld.com
    capestonecounty.com
    welldone123.net
    yahoo-security-center.vicp.net

    Некоторые из них использовались при атаках, но многие зарегистрированы просто для того, что быть частью инфраструктуры Sykipot. В нескольких случаях были замечены рассылки вредоносных писем с сервера на одном хостинге с упомянутым C&C доменом. Для таких случаев системные администраторы должны воспользоваться предоставленной информацией, чтобы отслеживать действия злоумышленников.

    Как отмечают специалисты Symantec, у Sykipot долгая история разнообразных атак, а также очевидные китайские корни. Группа вирусописателей постоянно совершенствует свое вредоносное детище, «натасканное» против антивирусов и постоянно осваивающее новые уязвимости. В силу всего этого, делают вывод они, мы еще не раз услышим о Sykipot в будущем.



    источник
     
    4 пользователям это понравилось.

Поделиться этой страницей