Hai sentito, o peggio - esperti, la backdoor T5000 che è stato rilevato in 2013 e 2014? Se sei un attivista diritto umano, un impiegato di governo o un dipendente dell'industria automobilistica in Asia-Pacifico, Le probabilità sono che sono stati infettati dal malware sofisticato T5000.
Impara di più riguardo backdoor APT
Sfortunatamente, una recente ricerca di Palo Alto Networks, la stessa società di sicurezza che per prima ha analizzato la famiglia di malware T5000 (noto anche come Plat1), indica che la backdoor ha una nuova versione.
Incontra T9000 - il Backdoor che mira a Skype Utenti
Come appena detto, il malware T9000 sembra essere una nuova versione di T5000. T9000 è stato avvistato essere distribuiti tramite e-mail spear phishing all'interno degli Stati Uniti. Apparentemente, anche se alcune organizzazioni sono attualmente sul bersaglio, il pezzo è abbastanza adattabile a essere utilizzato in varie campagne contro vari bersagli.
T9000 non è solo in grado di volare sotto il radar e eludere il rilevamento, due caratteristiche presenti in backdoor più avanzate. T9000 è anche in grado di catturare dati criptati, prendere screenshot e specificatamente destinate a utenti Skype. Il processo di installazione intero del malware passa attraverso 4 stadi, e un sacco di sforzo è stato fatto per evitare il rilevamento e qualsiasi analisi di sicurezza in corso.
In aggiunta, il malware è sufficientemente accurata per identificare 24 potenziali prodotti anti-malware che potrebbero essere in esecuzione sul sistema mirato:
- Sophos
- INCAInternet
- DoctorWeb
- Baidu
- Comodo
- TrustPortAntivirus
- GData
- AVG
- BitDefender
- VirusChaser
- McAfee
- Panda
- Trend Micro
- Kingsoft
- Norton
- Micropoint
- Filseclab
- AhnLab
- Jiangmin
- Tencent
- Avira
- Kaspersky
- crescente
- 360
I prodotti anti-malware di cui sopra sono incluse tramite un valore binario che si combina con altri prodotti per la sicurezza. Come spiegato dai ricercatori Palo Alto, i seguenti numeri rappresentano ogni rispettivo prodotto di sicurezza.
0x08000000 : Sophos
0x02000000 : INCAInternet
0x04000000 : DoctorWeb
0x00200000 : Baidu
0x00100000 : Comodo
0x00080000 : TrustPortAntivirus
0x00040000 : GData
0x00020000 : AVG
0x00010000 : BitDefender
0x00008000 : VirusChaser
0x00002000 : McAfee
0x00001000 : Panda
0x00000800 : Trend Micro
0x00000400 : Kingsoft
0x00000200 : Norton
0x00000100 : Micropoint
0x00000080 : Filseclab
0x00000040 : AhnLab
0x00000020 : Jiangmin
0x00000010 : Tencent
0x00000004 : Avira
0x00000008 : Kaspersky
0x00000002 : crescente
0x00000001 : 360
Detto, se entrambi Trend Micro e Sophos si trovano su un computer della vittima, il valore risultante sarà 0x08000800. Il valore viene quindi scritto il seguente file:
→%APPDATA% Intel avinfo
Il processo di infezione è iniziata da file RTF dannosi. Due vulnerabilità sono sfruttate particolari:
CVE-2012-1856
da cve.mitre.org:
Il controllo ActiveX TabStrip nell'elenco dei comuni in MSCOMCTL.OCX in Microsoft Office 2003 SP3, Ufficio 2003 Web Components SP3, Ufficio 2007 SP2 e SP3, Ufficio 2010 SP1, server SQL 2000 SP4, server SQL 2005 SP4, server SQL 2008 SP2, SP3, R2, R2 SP1, e R2 SP2, Commerce Server 2002 SP4, Commerce Server 2007 SP2, Commerce Server 2009 Oro e R2, Host Integration Server 2004 SP1, visual FoxPro 8.0 SP1, visual FoxPro 9.0 SP2, e Visual Basic 6.0 Runtime consente agli aggressori remoti di eseguire codice arbitrario tramite un artigianale (1) documento o (2) pagina web che fa scattare la corruzione del sistema-stato, aka “Vulnerabilità MSCOMCTL.OCX RCE.”
CVE-2015-1641
da cve.mitre.org:
Microsoft Word 2007 SP3, Ufficio 2010 SP2, Parola 2010 SP2, Parola 2013 SP1, Parola 2013 RT SP1, Word per Mac 2011, Office Compatibility Pack SP3, Word Automation Services in SharePoint Server 2010 SP2 e 2013 SP1, e Office Web Apps Server 2010 SP2 e 2013 SP1 consentire ad aggressori remoti di eseguire codice arbitrario tramite un documento RTF artigianale, aka “Vulnerabilità di Microsoft Office al danneggiamento della memoria.”
Se tutto va come previsto, una volta installato, T9000 raccoglie informazioni sul sistema, inviarlo al suo server di comando e controllo, e marcare il sistema di riferimento in modo che si distingue dagli altri.
Una volta che le macchine infette vengono registrati e viene identificato le informazioni che possono essere rubati, il server di comando e controllo invia moduli specifici per ogni bersaglio.
Uno di questi moduli, o plugin, è stato trovato essere particolarmente interessanti:
tyeu.dat: inviare a spiare le attività di Skype; una volta che il modulo è installato e funzionante, al successivo Skype viene avviato, apparirà un messaggio che dice che "explorer.exe vuole usare Skype".
tyeu.dat può ook:
Catturare screenshot desktop completo
Catturare screenshot della finestra di processi mirati
Cattura audio Skype, video, e messaggi di chat
T9000: In conclusione
L'avanzamento del malware T9000 backdoor è un eccellente prova di quanto determinato e aggressori malintenzionati ben finanziati sono. Gli autori di T9000 hanno fatto del loro meglio per evitare di essere rilevato da produttori di antivirus e di eludere le indagini degli ingegneri inversa. Per fortuna, I ricercatori di Palo Alto hanno condiviso pubblicamente la loro vasta analisi che è disponibile on-line. Date un'occhiata a tutto rapporto di Palo Alto Networks.
In aggiunta, vorremmo ricordare a tutte le organizzazioni là fuori quanto sia importante risposta agli incidenti è:
- Preparazione. Le imprese devono educare i loro dipendenti e personale IT l'importanza delle misure di sicurezza aggiornati e addestrarli per rispondere alle informatica e di sicurezza di rete incidenti in modo rapido e adeguato.
- Identificazione. Il team di risposta viene segnalato ogni volta che una possibile violazione ha luogo, e dovrebbe decidere se si tratta di un incidente di sicurezza o qualcos'altro. Il team è spesso consigliato di contattare il CERT Coordination Center, che tiene traccia e registra le attività di sicurezza Internet e raccoglie le informazioni più recenti sui virus e worm.
- Contenimento. Il team di risposta decide la gravità e la durata del problema. Scollegare tutti i sistemi e dispositivi interessati per evitare ulteriori danni è applicato anche.
- Eradicazione. Il ricavato del team di risposta con l'indagine di rivelare l'origine dell'attacco. La causa principale del problema e tutti gli avanzi codici maligni sono sradicate.
- Recupero. I dati e il software vengono ripristinati dal file di backup puliti, facendo in modo che nessuna vulnerabilità sono lasciati. I sistemi sono monitorati per qualsiasi segno di predisposizione a un difetto.
- Lezioni imparate. Il team di risposta analizza l'attacco e il modo in cui è stata trattata, e prepara raccomandazioni per una migliore risposta futuro e per il bene della prevenzione degli incidenti.
È possibile utilizzare il gruppo di applicazioni per spiare qualcuno anche senza alcune backdoor