CYBER NEWS

T9000 – Advanced Backdoor der Optager Skype Aktivitet

Har du hørt, eller værre - oplevet, den T5000 bagdør, der blev påvist i 2013 og 2014? Hvis du er en menneskeret aktivist, en regering ekspedient eller en ansat i bilindustrien i Asien og Stillehavsområdet, chancerne er du blevet smittet med sofistikerede T5000 malware.

Lær mere om APT bagdøre

Desværre, en nyere forskning fra Palo Alto Networks, den samme sikkerhed selskab, der først analyseret T5000 malware familien (også kendt som Plat1), angiver, at bagdøren har en ny version.

Mød T9000 - den Backdoor der sigter mod Skype-brugere

T9000-bagdør-malware-sensorstechforum
Som bare sagt, den T9000 malware synes at være en ny version af T5000. T9000 er blevet spottet blive distribueret via spear phishing e-mails i USA. Tilsyneladende, selvom visse organisationer er i øjeblikket på mål, stykket kan tilpasses nok til at blive anvendt i forskellige kampagner mod forskellige mål.

T9000 er ikke kun i stand til at flyve under radaren og unddrage afsløring, to funktioner præsentere i mest avancerede bagdøre. T9000 er også i stand til at opfange krypterede data, tage skærmbilleder og specifikt rettet mod Skype-brugere. Hele installationen af ​​malware går gennem 4 niveauer, og en stor indsats er gjort for at undgå at blive opdaget, og enhver igangværende sikkerhedsanalyse.

Desuden, malware er nøjagtig nok til at identificere 24 potentielle anti-malware produkter, der kan kører på målrettede systemet:

  • Sophos
  • INCAInternet
  • DoctorWeb
  • Baidu
  • Komfortabel
  • TrustPortAntivirus
  • GData
  • AVG
  • BitDefender
  • VirusChaser
  • McAfee
  • Panda
  • trend Micro
  • Kingsoft
  • Norton
  • Micropoint
  • Filseclab
  • AhnLab
  • Jiangmin
  • Tencent
  • Avira
  • Kaspersky
  • Stigende
  • 360

De ovennævnte anti-malware produkter er inkluderet via en binær værdi, der er kombineret med andre sikkerhedsprodukter. Som forklaret af Palo Alto forskere, følgende numre repræsenterer hver respektive sikkerhedsprodukt.

0x08000000 : Sophos
0x02000000 : INCAInternet
0x04000000 : DoctorWeb
0x00200000 : Baidu
0x00100000 : Komfortabel
0x00080000 : TrustPortAntivirus
0x00040000 : GData
0x00020000 : AVG
0x00010000 : BitDefender
0x00008000 : VirusChaser
0x00002000 : McAfee
0x00001000 : Panda
0x00000800 : trend Micro
0x00000400 : Kingsoft
0x00000200 : Norton
0x00000100 : Micropoint
0x00000080 : Filseclab
0x00000040 : AhnLab
0x00000020 : Jiangmin
0x00000010 : Tencent
0x00000004 : Avira
0x00000008 : Kaspersky
0x00000002 : Stigende
0x00000001 : 360

Når det er sagt, hvis begge Trend Micro og Sophos findes på offerets maskine, den resulterende værdi vil være 0x08000800. Værdien er derefter skrevet til følgende fil:

→%Appdata% Intel avinfo

Infektionen startes af ondsindede RTF-filer. To særlige sårbarheder udnyttes:

CVE-2012-1856

Fra cve.mitre.org:

Fanelinjen ActiveX-objektet i de fælles Controls i MSCOMCTL.OCX i Microsoft Office 2003 SP3, Kontor 2003 Web Components SP3, Kontor 2007 SP2 og SP3, Kontor 2010 SP1, SQL Server 2000 SP4, SQL Server 2005 SP4, SQL Server 2008 SP2, SP3, R2, R2 SP1, og R2 SP2, Commerce Server 2002 SP4, Commerce Server 2007 SP2, Commerce Server 2009 Guld og R2, Host Integration Server 2004 SP1, Visual FoxPro 8.0 SP1, Visual FoxPro 9.0 SP2, og Visual Basic 6.0 Runtime muligt for fjernangribere at udføre vilkårlig kode via en fabrikeret (1) dokument eller (2) webside, der udløser systemet-state korruption, aka “MSCOMCTL.OCX RCE Sårbarhed.”

CVE-2015-1641

Fra cve.mitre.org:

Microsoft Word 2007 SP3, Kontor 2010 SP2, Word 2010 SP2, Word 2013 SP1, Word 2013 RT SP1, Word til Mac 2011, Office Compatibility Pack SP3, Word Automation Services på SharePoint Server 2010 SP2 og 2013 SP1, og Office Web Apps Server 2010 SP2 og 2013 SP1 muligt for fjernangribere at udføre vilkårlig kode via en fabrikeret RTF-dokument, aka “Microsoft Office Memory Korruption Sårbarhed.”

Hvis alt går som planlagt, når de er installeret, T9000 vil indsamle oplysninger om systemet, sende den til sin kommando og kontrol-server, og markere det målrettede system, således at den er adskilt fra hinanden.
Når de inficerede maskiner registreres, og de oplysninger, der kan være stjålet identificeres, kommando og kontrol-server sender specifikke moduler til alle mål.

En af disse moduler, eller plugins, har vist sig at være særligt interessant:

tyeu.dat: sende at udspionere Skype aktiviteter; når modulet er installeret og kører, næste gang Skype startes, en meddelelse vises siger, at "explorer.exe ønsker at bruge Skype".
tyeu.dat kan ook:

Capture fuld desktop screenshots
Capture vinduet skærmbilleder af målrettede processer
Capture Skype audio, video, og chatbeskeder

T9000: Afslutningsvis

Udviklingen af ​​T9000 bagdør malware er et glimrende bevis på, hvor fast besluttet og godt-finansierede ondsindede angribere er. Forfatterne af T9000 har gjort deres bedste for at undgå at blive opdaget af AV-leverandører, og at unddrage sig efterforskning af reverse ingeniører. Heldigvis, forskerne på Palo Alto har delt offentligt deres store analyse, som er tilgængelig online. Tag et kig på hele rapport Palo Alto Networks.

Desuden, Vi vil gerne minde enhver organisation derude, hvor vigtigt incident response er:

  • Forberedelse. Virksomhederne bør uddanne deres ansatte og IT-personale om betydningen af ​​opdaterede sikkerhedsforanstaltninger og uddanne dem til at reagere på computer og netværk sikkerhedshændelser i en hurtig og passende måde.
  • Identifikation. Holdet respons signaleres, når en mulig overtrædelse finder sted, og skal beslutte, om det er en sikringsrelateret hændelse eller noget andet. Holdet er ofte rådes til at kontakte CERT Coordination Center, som sporer og registrerer Internet sikkerhed, og indsamler de seneste oplysninger om virus og orme.
  • Indeslutning. Holdet respons afgør sværhedsgraden og spændvidde af problemet. Frakobling alle berørte systemer og enheder for at forhindre yderligere skader anvendes også.
  • Udryddelse. De svar hold fortsætter med undersøgelsen at oplyse oprindelsen af ​​angrebet. Den grundlæggende årsag til problemet, og alle ondsindet kode rester er udryddet.
  • Genopretning. Data og software gendannes fra rene backup-filer, at sikre, at der ikke sårbarheder er tilbage. Systemer overvåges for tegn på tilbøjelighed til en fejl.
  • Erfaringer. Holdet respons analyserer angrebet og den måde, det blev behandlet, og forbereder anbefalinger til bedre fremtid respons og af hensyn til forebyggelse af uheld.
Milena Dimitrova

Milena Dimitrova

En inspireret forfatter og indhold leder, der har været med SensorsTechForum siden begyndelsen. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim

Flere indlæg

Følg mig:
Twitter

1 Kommentar

  1. AvatarErinn Krauss

    Du kan bruge masse applikationer til at udspionere nogen selv uden nogle bagdøre

    Svar

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

Frist er opbrugt. Venligst genindlæse CAPTCHA.

Del på Facebook Del
Loading ...
Del på Twitter Tweet
Loading ...
Del på Google Plus Del
Loading ...
Del på Linkedin Del
Loading ...
Del på Digg Del
Del på Reddit Del
Loading ...
Del på Stumbleupon Del
Loading ...