Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Malware działający ~tylko w pamięci atakuje banki… przygotujcie się zanim będzie za późno
Kasperski wykrył technikę używaną do tej pory przede wszystkim w atakach sponsorowanych przez rządy – malware nie zostawiający w ogóle śladu na dysku twardym (poza ew. wpisami w rejestrze) i zagnieżdzający się jedynie w pamięci. Po raz pierwszy malware wykryto w jednym z banków:
This threat was originally discovered by a bank’s security team, after detecting Meterpreter code inside the physical memory of a domain controller (DC).
W trakcie rozmowy z Arstechnicą jeden z pracowników Kasperskiego kwituje całą akcję tak:
„What’s interesting here is that these attacks are ongoing globally against banks themselves,” Kaspersky Lab expert Kurt Baumgartner told Ars. „The banks have not been adequately prepared in many cases to deal with this.” He went on to say that people behind the attacks are „pushing money out of the banks from within the banks,” by targeting computers that run automatic teller machines.
Możemy mieć w sumie podobną akcję jak niegdysiejszy Carbanak. Ślady ataku wykryto w 40 krajach – były to banki, ale też telcomy czy sieci rządowe:
Akcja wykorzystuje znane narzędzia: Mimikatz, Meterpreter, czy Powershell.
Wykrycie jest ~proste. Należy na pewno sprawdzić w rejestrze następujące miejsca pod względem występowania podejrzanych dopisków (oczywiście nie wszystkie wpisy w tych lokalizacjach muszą być nietypowe):
HKLM\SYSTEM\ControlSet001\services\
HKLM\SYSTEM\ControlSet001\services\PortProxy\v4tov4\tcp
Załoga z Kasperskiego proponuje również przeszukać rejestr pod względem ciągów poniżej (choć adresy IP mogą się różnić; przede wszystkim nietypowy i podejrzany powinien być port 4444, z drugiej strony twórcy malware łatwo mogą to zmienić…):
- powershell.exe -nop -w hidden -e
- 10.10.1.12/8080
- 10.10.1.11/4444
–ms
Jedna z zabawek selenium dziala domyślnie na porcie 4444…
To także malware? ;)
Sam port oczywiście nie daje 100% pewności. I dużo rzeczy działa na 4444 (choć to raczej port nietypowy niż typowy). To też AFAIR domyślny port dla wielu shellpayloadów w Metasploit.
coraz bardziej wygląda mi to na próbę pozostania na wodzie producenta Antywirusów.
Dziwnym trafem ostatnio dużo znajdują :-]
Dopóki znajdują coś sensownego, to dlaczego nie? :)
Znajdują, ale pytanie ile trwa od czasu zainfekowania takim „nowym” malware do czasu jego odkrycia. Mam obawy że nie mało a zapewne nie wiele czasu trzeba aby przy jego użyciu pobrać interesujące dane z urządzeń.
Ilość takiego nieodkrytego i niechcianego oprogramowania zapewne jest zaskakująco duża.
Jezeli ta sama osoba przygotowuje zagrozenie i zabezpieczenie nie trwa to dlugo ;)
Kaspersky to bardzo stronnicze i wątpliwe źródło. Podejrzane relacje z Kremlinem. Zaraz po tym jak Snowden zamieszkał w Rosji opublikowali dziesiątki odkryć. Tutaj moje podejrzenia budzi biała plama w centrum i na północy Europy. Wierzyć się nie chce, że nic nie odkryto…
Klucz
HKLM\SYSTEM\ControlSet001\services\ jest podejrzany? To trochę dziwne pod tym kluczem standardowo są dziesiątki wpisów
nie podejrzany, tylko podejrzane wpisy w tej gałęzi