bankowe malware BKDR_VAWTRAK wykorzystuje do ataku mechanizmy obronne Windows - Wersja do druku +- SafeGroup (https://safegroup.pl) +-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html) +--- Dział: Inne (https://safegroup.pl/forum-15.html) +--- Wątek: bankowe malware BKDR_VAWTRAK wykorzystuje do ataku mechanizmy obronne Windows (/thread-8351.html) |
bankowe malware BKDR_VAWTRAK wykorzystuje do ataku mechanizmy obronne Windows - ichito - 13.06.2014 Interesujące malware zostało wykryte i zanalizowane przez laboratorium Trend Micro - nazywa się ono BKDR_VAWTRAK, a zostało wykryte podczas ataku na japońskie banki. Mechanizm działania jest prosty i dość spektakularny, ponieważ wykorzystuje ono systemowy mechanizm SRP (Software Restriction Policies), którego ideą jest właśnie obniżanie uprawnień dla aplikacji, by nie narobiły w systemie szkody...w tym przypadku wykorzystując ten mechanizm, malware obniża uprawnienia programów zabezpieczających i w rezultacie je unieruchamia. Cały trik polega na dodaniu przez malware wpisu w rejestrze Cytat:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\Paths\{generated GUID for the AV software} ItemData = “{AV software path}” SaferFlags = “0”co skutkuje alertem systemowym o braku możliwości uruchomieniu pliku wykonawczego AV, jak na przykładzie poniżej [Aby zobaczyć linki, zarejestruj się tutaj] Ponieważ wpis ten działa na lokalizację %Program Files% and %All Users Profile%\Application , wygląda na to, że podatne na atakBKDR_VAWTRAK mogą być programy Cytat:a-squared Anti-MalwareŹródło [Aby zobaczyć linki, zarejestruj się tutaj] Re: bankowe malware BKDR_VAWTRAK wykorzystuje do ataku mechanizmy obronne Windows - nikita - 13.06.2014 No i proszę. Mechanizm może i bardziej skomplikowany niż rodzimy pierwowzór (Visual Basic 6) podmieniający zawartość schowka systemowego przy kopiowaniu ciągu złożonego z 26 znaków (cyfr), który posłużył za bazę do napisania ulepszonej wersji malware w języku .NET. Ciekawą funkcjonalnością tego bankowego malware z przełomu 2013 i 2014 roku jest to, że nie zostawia śladów w rejestrze, a co za tym idzie - po ponownym uruchomieniu komputera nie ma po nim śladu (poza plikiem macierzystym udającym instalator Adobe Flash Player). Według badań "nabrało się" na to około 3000 osób. Biorąc pod uwagę to i powyższy wpis ichito... proste rozwiązania są nadzwyczajnie skuteczne dla cyberprzestępców. Więcej na ten temat poczytać można [Aby zobaczyć linki, zarejestruj się tutaj] i[Aby zobaczyć linki, zarejestruj się tutaj] (może nawet na forum już było, ale nie pamiętam).Możliwe, że postęp technologiczny w prawie każdym aspekcie wykrywania zagrożeń zaczyna stanowić pewną barierę, na którą programiści malware muszę poświęcić stosunkowo dużo czasu, co nie zawsze może przekładać się na opłacalność (szczególnie w "przydomowych projektach"). Złośliwe oprogramowanie długo, długo ewoluowało i wykorzystywało mnóstwo technik ukrywania swoich składników, a teraz mały zwrot - wykorzystanie exploitów i wszystkich możliwych furtek, nawet tych, które z założenia bezpieczeństwo systemów miały zwiększać. Takie tam luźne dywagacje... Ciekawe informacje, ichito, dzięki za wykopanie tego! Re: bankowe malware BKDR_VAWTRAK wykorzystuje do ataku mechanizmy obronne Windows - zbc - 13.06.2014 a-squared to teraz Emsisoft. Av (jeżeli wykryje) to malware przy otwieraniu, to przecież to szkodliwe oprogramowanie nie zaszkodzi. Jak ktoś jest zainfekowany, to skaner na rządanie może nie udać rady... Re: bankowe malware BKDR_VAWTRAK wykorzystuje do ataku mechanizmy obronne Windows - tachion - 14.06.2014 ichito napisał(a):bankowe malware BKDR_VAWTRAKJakby ktoś chciał to próbki w labie. [Aby zobaczyć linki, zarejestruj się tutaj] |