Programmēšana

RSA SecurID uzbrukumā izmantotā Poison Ivy Trojan joprojām ir populāra

Ļaunprātīgas programmatūras rīks, iespējams, vispazīstamākais, lai uzlauztu RSA SecurID infrastruktūru, joprojām tiek izmantots mērķtiecīgos uzbrukumos, norāda drošības pārdevēja FireEye.

Poison Ivy ir attālās piekļuves Trojas zirgs (RAT), kas tika izlaists pirms astoņiem gadiem, bet joprojām ir iecienīts dažu hakeru vidū, rakstīja FireEye trešdien izplatītajā jaunajā ziņojumā. Tam ir pazīstams Windows interfeiss, tas ir ērti lietojams un var reģistrēt taustiņsitienus, nozagt failus un paroles.

[Drošības eksperts Roger A. Grimes piedāvā ekskursiju ar jaunākajiem draudiem un paskaidro, ko jūs varat darīt, lai tos apturētu, vietnē Shop Talk video "Fight Today's Malware". | Sekojiet līdzi galvenajiem drošības jautājumiem, izmantojot emuāru Drošības padomnieks un Drošības centrālais biļetens. ]

Tā kā Poison Ivy joprojām tiek izmantota tik plaši, FireEye teica, ka drošības analītiķiem ir grūtāk saistīt tā izmantošanu ar noteiktu hakeru grupu.

Analīzei uzņēmums savāca 194 Poison Ivy paraugus, kurus izmantoja 2008. gada uzbrukumos, aplūkojot paroles, kuras uzbrucēji izmantoja, lai piekļūtu RAT un izmantotajiem komandu un vadības serveriem.

Trīs grupas, no kurām viena, šķiet, atrodas Ķīnā, Poison Ivy ir izmantojusi mērķtiecīgos uzbrukumos, kas turpinās vismaz četrus gadus. FireEye identificēja grupas pēc parolēm, kuras viņi izmanto, lai piekļūtu Poison Ivy RAT, kuras tās ievietojušas mērķa datorā: admin338, th3bug un menuPass.

Tiek uzskatīts, ka grupa admin388 ir bijusi aktīva jau 2008. gada janvārī, mērķējot uz interneta pakalpojumu sniedzējiem, telekomunikāciju uzņēmumiem, valdības organizācijām un aizsardzības nozari, rakstīja FireEye.

Parasti upuru mērķauditorija ir šī grupa, izmantojot e-pastus ar šķēpa pikšķerēšanu, kas satur ļaunprātīgu Microsoft Word vai PDF pielikumu ar Poison Ivy kodu. E-pasta ziņojumi ir angļu valodā, taču e-pasta ziņojuma pamattekstā tiek izmantota ķīniešu rakstzīmju kopa.

Poison Ivy klātbūtne var liecināt par uzbrucēja izteiktāku interesi, jo tā ir jākontrolē manuāli reāllaikā.

"RAT ir daudz personiskāki un var norādīt, ka jums ir darīšana ar īpašu draudu dalībnieku, kurš ir īpaši ieinteresēts jūsu organizācijā," rakstīja FireEye.

Lai palīdzētu organizācijām atklāt Poison Ivy, FireEye izlaida "Calamine" - divu rīku komplektu, kas paredzēts tā šifrēšanas atšifrēšanai un lai saprastu, ko tas nozog.

Nozagto informāciju Poison Ivy šifrē, izmantojot Camellia šifru ar 256 bitu atslēgu, pirms tā tiek nosūtīta uz attālo serveri, rakstīja FireEye. Šifrēšanas atslēga tiek iegūta no paroles, kuru uzbrucējs izmanto, lai atbloķētu Poison Ivy.

Daudzi no uzbrucējiem vienkārši izmanto noklusējuma paroli "admin". Bet, ja parole ir mainījusies, tās pārtveršanai var izmantot vienu no Calamine rīkiem - PyCommand skriptu. Pēc tam ar otru Calamine rīku var atšifrēt Poison Ivy tīkla trafiku, kas var norādīt uz to, ko uzbrucējs ir darījis.

"Kalamīns var neapturēt apņēmīgus uzbrucējus, kuri lieto Poison Ivy," brīdināja FireEye. "Bet tas var padarīt viņu noziedzīgos centienus daudz grūtākus."

Sūtiet ziņu padomus un komentārus uz [email protected]. Seko man čivināt: @jeremy_kirk.

$config[zx-auto] not found$config[zx-overlay] not found