През последните няколко месеца на няколко пъти сме споменавали – и давали примери – за използването на различни варианти на един зловреден код за шпионаж – да, това е SBDH toolkit. Благодарение на мощните си филтри, различните методи за комуникация с командните си сървъри и упоритостта си, той успява да постигне целта си – да извлече информация под формата на определени файлове от различни правителствени и публични организации. Обикновено, шпионажът е свързан с държави от Централна и Източна Европа – а целите са учреждения, чиято цел е да подпомагат икономическия ръст и сътрудничество в региона. Този тулкит – или поне първите му версии – се разпространява чрез прикрит с двойно разширение изпълним (.exe) файл, прикачен към фишинг имейл – и разчитащ на настройките по подразбиране на Windows, които скриват разширенията на познатите файлове. За да увеличи шанса си за успех – и стартиране от страна на получилия файла – вирусът използва легитимно изглеждащи иконки от различни Microsoft приложения – например, иконка за Word документ. След стартирането на файла, зловредният код се свързва с отдалечена локация, от която сваля два основни компонента на тулкита: backdoor вирус и кодът, който осъществява кражбата. Комбинацията от тези модули дава на атакуващия не само пълен дистанционен контрол върху компрометирания компютър, но и възможност за кражба на информация от него. Благодарение на вградените си филтри, „администраторът“ на вируса може да даде много детайлна информация кои точно файлове иска да извлече от засегнатата система – например, да избере от файлово разширение, дата на създаване, размер на файла и др. Тези параметри могат да бъдат редактирани посредством конфигурационните файлове на зловредния код. Заради всички тези компоненти, шпионският тулкит изисква връзка с командния си сървър, тъй като зловредният код зависи много от подаваните команди. За да поддържа тази жизнено важна свързаност, той (вирусът) използва няколко различни метода на свързване. Първият опит е през HTTP протокол. Ако той е неуспешен, следва опит за комуникация чрез SMTP протокол. А, ако и това не стане, последната опция е директна комуникация чрез специфични имейли, изпращани от Microsoft Outlook Express. По този начин мейлите се изпращат от името на текущия логнат потребител на системата, с което зловредният код успява да се скрие от системите за сигурност на мрежата. Изпращането става автоматично, без изобщо потребителят да има шанс да забележи активността в Outlook Express. В случай на входяща комуникация, зловредният код претърсва входящата кутия на жертвата си и идентифицира необходимите му мейли посредством специфичните им теми. Ако тулкитът открие подобни писма, следва обработката им за извличането на н необходимите команди, съдържащи се в тях. И като последна стъпка – следва промяната на темите на писмата, с цел предотвратяване на повторното им откриване от кода на вируса. Тази опция обаче е достъпна до 2006 г., когато Outlook Express е заменен от Windows Mail. Оттогава, разработчиците на тулкита се концентрират предимно върху HTTP протокола и маскират комуникацията с командните сървъри под формата на фалшиви изображения (.JPG, .GIF), чрез които се пренася информацията. В случай че командният сървър все пак е недостъпен, вирусът има още един коз в ръкава си – ръчно въведен URL, който води към фалшиво изображение (хоствано в блог), което съдържа в себе си URL-а на алтернативен команден сървър. Някои от анализираните семпли на компонента имплементират в себе си интересен (и нагъл) метод: зловредният код променя начина, по който операционната система третира Word документи. Това означава, че в момента, в който от заразената система бъде отворен или редактиран Word документ, вирусът бива стартиран. И накрая, но не на последно място, ако се питаш откъде идва името на този тулкит – стрингът “SBDH” може да бъде намерен в компилираните пътечки на свалящия вируса код –а стрингът B64SBDH стартира свалянето на двата допълнителни компонента от отдалечения сървър. Тулкитът за шпионаж SBDH доказва, че дори и най-съвременните заплахи все още е разпространяват по доста прости вектори – като прикачени файлове в имейли. Тези рискови файлове обаче могат да бъдат разкрити от добре обучени служители в организациите, а още повече – от доказано ефективно антивирусно решение за бизнеса.
- BG
- За нас
- Новини
- Корпоративни новини
- Един истински шпионин е разкрит. Вирус. Тулкит вирус/