As-tu entendu, ou pire - connu, la porte dérobée T5000 qui a été détecté dans 2013 et 2014? Si vous êtes un militant des droits de l'homme, un employé du gouvernement ou un employé de l'industrie automobile dans la région Asie-Pacifique, les chances sont que vous ont été infectées par le T5000 logiciels malveillants sophistiqués.
En savoir plus sur Backdoors APT
Malheureusement, une recherche récente par Palo Alto Networks, la même société de sécurité qui a d'abord analysé la famille de logiciels malveillants T5000 (également connu sous le nom Plat1), indique que la porte dérobée a une nouvelle version.
Rencontrez T9000 - le Backdoor qui vise les utilisateurs Skype
Comme vient de le dire, le malware T9000 semble être une nouvelle version du T5000. T9000 a été repéré étant distribué par spear phishing e-mails au sein de l'US. Apparemment, même si certaines organisations sont actuellement sur cible, la pièce est suffisamment adaptable pour être utilisé dans diverses campagnes contre diverses cibles.
T9000 est non seulement capable de voler sous le radar et échapper à la détection, deux fonctionnalités présentes dans backdoors les plus avancés. T9000 est également capable de capturer des données cryptées, des captures d'écran et de cibler spécifiquement les utilisateurs de Skype. Le processus du malware d'installation entière passe par 4 étapes, et beaucoup d'efforts ont été faits pour éviter la détection et une analyse de sécurité en cours.
En outre, le malware est suffisamment précis pour identifier 24 produits anti-logiciels malveillants potentiels qui peuvent être en cours d'exécution sur le système cible:
- Sophos
- INCAInternet
- DoctorWeb
- Baidu
- Confortable
- TrustPortAntivirus
- GData
- AVG
- BitDefender
- VirusChaser
- McAfee
- Panda
- Trend Micro
- Kingsoft
- Norton
- Micropoint
- Filseclab
- AhnLab
- Jiangmin
- Tencent
- Avira
- Kaspersky
- En hausse
- 360
Les produits anti-malware mentionnés ci-dessus sont inclus via une valeur binaire qui est combiné avec d'autres produits de sécurité. Comme cela est expliqué par les chercheurs Palo Alto, les numéros suivants représentent chaque produit de sécurité respective.
0x08000000 : Sophos
0x02000000 : INCAInternet
0x04000000 : DoctorWeb
0x00200000 : Baidu
0x00100000 : Confortable
0x00080000 : TrustPortAntivirus
0x00040000 : GData
0x00020000 : AVG
0x00010000 : BitDefender
0x00008000 : VirusChaser
0x00002000 : McAfee
0x00001000 : Panda
0x00000800 : Trend Micro
0x00000400 : Kingsoft
0x00000200 : Norton
0x00000100 : Micropoint
0x00000080 : Filseclab
0x00000040 : AhnLab
0x00000020 : Jiangmin
0x00000010 : Tencent
0x00000004 : Avira
0x00000008 : Kaspersky
0x00000002 : En hausse
0x00000001 : 360
Cela étant dit, si les deux Trend Micro et Sophos se trouvent sur une machine victime, la valeur résultante sera 0x08000800. La valeur est ensuite écrit dans le fichier suivant:
→%APPDATA% Intel avinfo
Le processus d'infection est commencé par les fichiers RTF malveillants. Deux vulnérabilités particulières sont exploitées:
CVE-2012-1856
De cve.mitre.org:
Le contrôle TabStrip ActiveX dans les contrôles communs dans MSCOMCTL.OCX dans Microsoft Office 2003 SP3, Bureau 2003 Web Components SP3, Bureau 2007 SP2 et SP3, Bureau 2010 SP1, serveur SQL 2000 SP4, serveur SQL 2005 SP4, serveur SQL 2008 SP2, SP3, R2, R2 SP1, et R2 SP2, Commerce Server 2002 SP4, Commerce Server 2007 SP2, Commerce Server 2009 L'or et R2, Host Integration Server 2004 SP1, Visual FoxPro 8.0 SP1, Visual FoxPro 9.0 SP2, et Visual Basic 6.0 Runtime permet à des attaquants distants d'exécuter du code arbitraire via un conçu (1) document ou (2) page Web qui déclenche l'état du système de corruption, alias “Vulnérabilité MSCOMCTL.OCX RCE.”
CVE-2015-1641
De cve.mitre.org:
Microsoft Word 2007 SP3, Bureau 2010 SP2, Mot 2010 SP2, Mot 2013 SP1, Mot 2013 RT SP1, Word pour Mac 2011, Pack Office Compatibility SP3, Word Automation Services sur SharePoint Server 2010 SP2 et 2013 SP1, et Office Web Apps serveur 2010 SP2 et 2013 SP1 permet aux attaquants distants d'exécuter du code arbitraire via un document RTF conçu, alias “Vulnérabilité Microsoft Office de corruption de mémoire.”
Si tout se passe comme prévu, une fois installé, T9000 recueillera des informations sur le système, l'envoyer à son serveur de commande et de contrôle, et marquer le système cible de sorte qu'il se distingue des autres.
Une fois que les machines infectées sont enregistrées et l'information qui peut être volé est identifié, le serveur de commande et de contrôle envoie des modules spécifiques à chaque cible.
L'un de ces modules,, ou plugins, a été jugée particulièrement intéressante:
tyeu.dat: envoyer à espionner les activités Skype; une fois que le module est installé et en cours d'exécution, la prochaine fois que Skype est lancé, un message apparaîtra en disant que "explorer.exe veut utiliser Skype".
tyeu.dat peut ook:
Capturez screenshots complets de bureau
Capturer des captures d'écran de la fenêtre de processus ciblés
Capturez Skype audio, Vidéo, et messages de chat
T9000: En conclusion
L'avancement du malware T9000 backdoor est une excellente preuve de la façon déterminée et des attaquants malveillants bien financés sont. Les auteurs de T9000 ont fait de leur mieux pour éviter d'être détectés par les fournisseurs AV et de se soustraire à l'enquête d'ingénieurs inverse. Heureusement, les chercheurs de Palo Alto ont partagé publiquement leur vaste analyse qui est disponible en ligne. Jetez un oeil à l'ensemble rapport Palo Alto Networks.
En outre, nous tenons à rappeler à chaque organisation là-bas l'importance réponse aux incidents est:
- Préparation. Les entreprises devraient éduquer leurs employés et le personnel des TI de l'importance des mesures de sécurité mises à jour et de les former pour répondre aux incidents de sécurité informatique et de réseau d'une manière rapide et adéquate.
- Identification. L'équipe d'intervention est signalée chaque fois une éventuelle violation a lieu, et doit décider si elle est un incident de sécurité ou autre chose. L'équipe est souvent conseillé de contacter le CERT Coordination Center, qui suit et enregistre les activités de sécurité Internet et recueille les informations les plus récentes sur les virus et les vers.
- Endiguement. L'équipe d'intervention décide sur la gravité et la durée de l'émission. Déconnexion tous les systèmes et les appareils concernés afin de prévenir d'autres dommages est également appliquée.
- Éradication. L'équipe d'intervention procède à l'enquête de divulguer l'origine de l'attaque. La cause racine du problème et tous les restes de codes malveillants sont éradiquées.
- La récupération. Données et logiciel sont restaurés à partir des fichiers de sauvegarde propres, faire en sorte que pas de vulnérabilités sont laissés. Systèmes sont surveillés pour tout signe de prédisposition à un défaut.
- Leçons apprises. L'équipe d'intervention analyse l'attaque et la façon dont elle a été traitée, et prépare des recommandations pour une meilleure réponse de l'avenir et pour le bien de la prévention des incidents.
Vous pouvez utiliser le tas d'applications pour espionner quelqu'un, même sans quelques backdoors