Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Brakujący element – wykryto wyrafinowanego backdoora dla systemu OS X

Stefan Ortloff Kaspersky Lab Expert
Dodany 8 września 2016, 11:55 CEST
Tagi:

W skrócie

  • Backdoor.OSX.Mokes to niedawno wykryty wariant wieloplatformowego backdoora dla systemu OS X, który potrafi działać na wszystkich głównych systemach operacyjnych  (Windows, Linux, OS X). Dostępna jest również nasza analiza dotycząca wariantów dla systemu Windows i Linux.
  • Opisywana rodzina szkodliwego oprogramowania potrafi kraść różne rodzaje danych z maszyny ofiary (zrzuty ekranu, przechwycone dane audio/wideo, dokumenty biurowe, uderzenia klawiszy)
  • Backdoor potrafi również wykonywać losowe polecenia na komputerze ofiary  
  • W celu komunikacji wykorzystuje mocne szyfrowanie AES­256­CBC

Informacje wprowadzające

W styczniu tego roku zidentyfikowaliśmy nową rodzinę backdoorów wieloplatformowych stworzonych dla środowisk desktopowych. Po wykryciu binariów dla systemów Linux i Windows w końcu trafiliśmy na wersję Mokes.A, stworzoną dla systemu OS X. Została ona napisana w języku C++ przy użyciu...



Wprowadzenie

Niedawno trafiliśmy na nową rodzinę backdoorów wieloplatformowych dla środowisk desktopów. Najpierw zdobyliśmy wariant dla Linuksa. Przy użyciu informacji wydobytych z jego elementu binarnego zdołaliśmy również znaleźć wariant dla desktopów z Windowsem. Obie wersje były dodatkowo wyposażone w ważną sygnaturę podpisywania kodu. Przyjrzyjmy się im.

DropboxCache znany również jako Backdoor.Linux.Mokes.a

Ten backdoor dla systemów operacyjnych opartych na Linuksie został spakowany za pośrednictwem UPX i zawiera funkcje służące do monitorowania działań ofiary, łącznie z kodem zapewniającym przechwytywanie dźwięku i wykonywanie zrzutów ekranu. 

1.png

Po pierwszym wykonaniu element binarny sprawdza własną ścieżkę pliku i, w razie konieczności, kopiuje się do jednej z poniższych...


Kolejne zamknięcie botnetu zakończone sukcesem: rozbicie nowego botnetu Hlux/Kelihos

Stefan Ortloff Kaspersky Lab Expert
Dodany 30 marca 2012, 10:55 CEST
Tagi:

We wrześniu zeszłego roku Kaspersky Lab rozbił we współpracy z Digital Crimes Unit (DCU) Microsoftu, SurfNET oraz Kyrus Tech, Inc. niebezpieczny botnet Hlux/Kelihos poprzez zasysanie zainfekowanych maszyn do kontrolowanego przez nas hosta.

Kilka miesięcy później nasi analitycy natknęli się na nową wersję szkodliwego oprogramowania odpowiedzialnego za przyłączanie komputerów do botnetu ze znacznymi zmianami w protokole komunikacji oraz nowymi „funkcjami”, takimi jak infekowanie dysków flash czy kradzież portfela bitcoinów.

Z przyjemnością informujemy, że we współpracy z CrowdStrike Intelligence Team, Honeynet Project oraz Dell SecureWorks zdołaliśmy rozbić ten nowy botnet.

W zeszłym tygodniu ustawiliśmy rozproszone na całym świecie maszyny w celu przeprowadzenia operacji zasysania (sinkholing) i w środę 21 marca rozpoczęliśmy zsynchronizowane rozprzestrzenianie adresu IP naszego leja (sinkhole)...


FAQ: Rozbicie nowego botnetu Hlux/Kelihos

Stefan Ortloff Kaspersky Lab Expert
Dodany 30 marca 2012, 08:26 CEST
Tagi:

P: Czym jest botnet Hlux/Kelihos?
O: Kelihos to stosowana przez Microsoft nazwa botentu określanego przez Kaspersky Lab jako Hlux. Hlux jest botnetem peer-to-peer o architekturze podobnej do tej stosowanej dla botnetu Waledac. Składa się z warstw różnych rodzajów węzłów: kontrolerów, ruterów i pracowników.

P: Co to jest botnet peer-to-peer?
O: W przeciwieństwie do klasycznego botnetu, botnet peer-to-peer nie wykorzystuje scentralizowanego serwera kontroli (C&C). Każdy członek sieci może działać jako serwer oraz/lub klient. Z punktu widzenia szkodliwego użytkownika zaletami takiej struktury jest pominięcie centralnego C&C jako pojedynczego punktu awarii. Z naszego punktu widzenia tego rodzaju botnet jest znacznie trudniejszy do zniszczenia.

Architektura tradycyjnego botnetu oraz botnetu P2P:

Traditional botnet with centralized C&C

Tradycyjny botnet ze scentralizowanym C&C

Architecture of a P2P botnet

Architektura botnetu P2P

P: Kiedy Hlux/Kelihos został po raz pierwszy wykryty na...


Wrażenia z konferencji CCC 27C3 w Berlinie

Stefan Ortloff Kaspersky Lab Expert
Dodany 30 grudnia 2010, 11:27 CET

Od poniedziałku wraz moimi kolegami biorę udział w corocznym kongresie Chaos Communication Congress 27C3 w Berlinie. Chaos Computer Club organizuje tą czterodniową konferencję dla hakerów z całego świata już od 27 lat.

Podczas tej popularnej imprezy poruszono szerokie spektrum tematów, podzielonych na sześć różnych wątków: Community, Culture, Hacking, Making, Science and Society.

Wszystkie rozmowy były podzielone na grupy i nagrywane.

Wczoraj rozpoczęła się również nowa, niezależna od CCC impreza o nazwie BerlinSides, która skupia się na bezpieczeństwie informatycznym i jest organizowana przez Aluc.TV oraz SecurityBsides.com. Odbywa się w jednym z najstarszych miejsc hakerskich na świecie, sławnej berlińskiej c-base.