Hast du gehört, oder noch schlimmer - erfahren, T5000 die Hintertür, die detektiert wurde 2013 und 2014? Wenn Sie ein Menschenrechtsaktivist, ein Regierungs Angestellter oder Mitarbeiter der Automobilindustrie in der Region Asien-Pazifik, Chancen sind, wurden Sie durch die anspruchsvolle T5000 Malware infiziert.
Lerne mehr über APT Backdoors
Leider, eine aktuelle Studie von Palo Alto Networks, die gleiche Sicherheitsfirma, die zuerst die T5000 Malware-Familie analysiert (auch als Plat1 bekannt), zeigt an, dass der Backdoor eine neue Version hat.
Treffen Sie T9000 - die Backdoor, die bei Skype Nutzer Ziele
Wie gerade gesagt,, die T9000 Malware erscheint eine neue Version des T5000 zu sein. T9000 wurde über Spear-Phishing-E-Mails in den USA werden verteilt gesichtet. Offenbar, obwohl bestimmte Organisationen sind zur Zeit am Ziel, das Stück ist anpassungsfähig genug, um in verschiedenen Kampagnen gegen verschiedene Ziele verwendet werden.
T9000 ist nicht nur in der Lage, unter dem Radar zu fliegen und den Nachweis entziehen, zwei Funktionen, die in modernsten Backdoors. T9000 ist auch in der Lage verschlüsselte Datenerfassung, Aufnahme von Schnappschüssen und speziell auf Skype-Nutzer. Die gesamte Installation der Malware geht durch 4 Stufen, und viele Anstrengungen unternommen worden, Erkennung und all laufende Sicherheitsanalyse zu vermeiden.
Außerdem, die Malware ist genau genug, um zu identifizieren, 24 potenzielle Anti-Malware-Produkte, die auf dem Zielsystem ausgeführt werden können:
- Sophos
- INCA Internet
- DoctorWeb
- Baidu
- Komfortabel
- TrustPortAntivirus
- GData
- AVG
- BitDefender
- VirusChaser
- McAfee
- Panda
- Trend Micro
- Kingsoft
- Norton
- Micro
- Filseclab
- AhnLab
- Jiangmin
- Tencent
- Avira
- Kaspersky
- Steigend
- 360
Die oben genannten Anti-Malware-Produkte werden über einen Binärwert enthalten, die mit anderen Sicherheitsprodukten kombiniert wird. Wie von Palo Alto Forscher erklärt, die folgenden Zahlen darstellen jedes jeweilige Sicherheitsprodukt.
0x08000000 : Sophos
0x02000000 : INCA Internet
0x04000000 : DoctorWeb
0x00200000 : Baidu
0x00100000 : Komfortabel
0x00080000 : TrustPortAntivirus
0x00040000 : GData
0x00020000 : AVG
0x00010000 : BitDefender
0x00008000 : VirusChaser
0x00002000 : McAfee
0x00001000 : Panda
0x00000800 : Trend Micro
0x00000400 : Kingsoft
0x00000200 : Norton
0x00000100 : Micro
0x00000080 : Filseclab
0x00000040 : AhnLab
0x00000020 : Jiangmin
0x00000010 : Tencent
0x00000004 : Avira
0x00000008 : Kaspersky
0x00000002 : Steigend
0x00000001 : 360
Davon abgesehen,, wenn sowohl Trend Micro und Sophos sind auf einem infizierten Computer gefunden, der resultierende Wert wird 0x08000800. Der Wert wird dann in der folgenden Datei geschrieben:
→%APPDATA% Intel avinfo
Der Infektionsprozess wird durch bösartige RTF-Dateien gestartet. Zwei besondere Schwachstellen ausgenutzt werden:
CVE-2012-1856
von cve.mitre.org:
Das TabStrip ActiveX-Steuerelement in dem Common Controls in MSCOMCTL.OCX in Microsoft Office 2003 SP3, Büro 2003 Web Components SP3, Büro 2007 SP2 und SP3, Büro 2010 SP1, SQL Server 2000 SP4, SQL Server 2005 SP4, SQL Server 2008 SP2, SP3, R2, R2 SP1, und R2 SP2, Commerce Server 2002 SP4, Commerce Server 2007 SP2, Commerce Server 2009 Gold und R2, Host Integration Server 2004 SP1, visual FoxPro 8.0 SP1, visual FoxPro 9.0 SP2, und Visual Basic 6.0 Runtime ermöglicht es einem Angreifer, beliebigen Code über eine gearbeitete auszuführen (1) Dokument oder (2) Webseite, die System-Zustand Korruption auslöst, aka “MSCOMCTL.OCX RCE Verletzlichkeit.”
CVE-2015-1641
von cve.mitre.org:
Microsoft Word 2007 SP3, Büro 2010 SP2, Wort 2010 SP2, Wort 2013 SP1, Wort 2013 RT SP1, Word für Mac 2011, Office Compatibility Pack SP3, Word Automation Services auf Sharepoint Server 2010 SP2 und 2013 SP1, und Office Web Apps Server 2010 SP2 und 2013 SP1 erlaubt entfernte Angreifer beliebigen Code über ein gestaltetes RTF-Dokument auszuführen, aka “Microsoft Office bezüglich Speicherbeschädigung.”
Wenn alles geht wie geplant, einmal installiert, T9000 werden Informationen über das System sammeln, senden Sie es an seine Kommando- und Kontrollserver, und markieren Sie die Zielsystem, so dass es von den anderen unterscheidet.
Sobald die infizierten Maschinen werden aufgezeichnet und die Informationen, die gestohlen werden können, wird identifiziert, der Kommando- und Kontrollserver sendet spezifische Module zu jedem Ziel.
Eines dieser Module, oder Plugins, hat sich als besonders interessant gefunden:
tyeu.dat: senden über Skype Aktivitäten auszuspionieren; Sobald das Modul installiert ist und ausgeführt, das nächste Mal gestartet wird Skype, Es erscheint eine Meldung, die besagt, dass „explorer.exe will Skype verwenden“.
tyeu.dat kann auch:
Erfassen Sie vollständige Desktop-Screenshots
Capture-Fenster Screenshots von gezielten Prozessen
Erfassen Sie Skype Audio, Video, und Chat-Nachrichten
T9000: Abschließend
Die Weiterentwicklung der T9000 Backdoor Malware ist ein hervorragender Beweis dafür, wie entschlossen und gut finanzierte böswillige Angreifer. Die Autoren von T9000 haben ihr Bestes getan von AV-Hersteller entdeckt zu werden zu vermeiden und die Untersuchung von Reverse-Ingenieure zu entziehen. Glücklicherweise, die Forscher in Palo Alto haben ihre große Analyse öffentlich geteilt, die online verfügbar. Schauen Sie sich die ganze Palo Alto Networks Bericht.
Außerdem, wir möchten darauf jede Organisation erinnern, wie wichtig es Incident-Response- ist:
- Vorbereitung. Die Unternehmen sollten ihre Mitarbeiter und IT-Mitarbeiter für die Bedeutung der aktualisierten Sicherheitsmaßnahmen zu erziehen und schulen sie auf Computer- und Netzwerksicherheitsvorfälle in einer zügigen und angemessenen Art und Weise zu reagieren.
- Identifizierung. Das Einsatzteam gemeldet wird, wenn eine mögliche Verletzung stattfindet, und sollte entscheiden, ob es sich um ein sicherheitsrelevantes Ereignis oder etwas anderes. Das Team wird oft empfohlen, den CERT Coordination Center kontaktieren, welche Spuren und Aufzeichnungen Internet-Sicherheitsaktivitäten und sammelt die neuesten Informationen über Viren und Würmer.
- Containment. Die Reaktionsteam entscheidet über den Schweregrad und die Spannweite der Ausgabe. Trennen Sie alle betroffenen Systeme und Geräte, um weitere Schäden zu verhindern wird auch angewendet,.
- Ausrottung. Das Response-Team fährt mit der Untersuchung der Herkunft des Angriffs offen zu legen. Die Ursache des Problems und alle bösartigen Code Reste beseitigt werden.
- Erholung. Daten und Software werden von sauberen Backup-Dateien wiederhergestellt, darauf achten, dass keine Sicherheitslücken übrig. Systeme sind auf Anzeichen von Anfälligkeit eines Fehlers überwacht.
- Lessons learned. Die Response Team analysiert den Angriff und die Art, wie es behandelt wurde, Fragen und erarbeitet Empfehlungen für die bessere Zukunft Antwort und zum Wohle der Störfallvorsorge.
Sie können die Bündel von Anwendungen verwenden, um auf jemanden auszuspionieren auch ohne einige Backdoors