Malware działający ~tylko w pamięci atakuje banki… przygotujcie się zanim będzie za późno

09 lutego 2017, 08:07 | W biegu | komentarzy 9
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Kasperski wykrył technikę używaną do tej pory przede wszystkim w atakach sponsorowanych przez rządymalware nie zostawiający w ogóle śladu na dysku twardym (poza ew. wpisami w rejestrze) i  zagnieżdzający się jedynie w pamięci. Po raz pierwszy malware wykryto w jednym z banków:

This threat was originally discovered by a bank’s security team, after detecting Meterpreter code inside the physical memory of a domain controller (DC).

W trakcie rozmowy z Arstechnicą jeden z pracowników Kasperskiego kwituje całą akcję tak:

„What’s interesting here is that these attacks are ongoing globally against banks themselves,” Kaspersky Lab expert Kurt Baumgartner told Ars. „The banks have not been adequately prepared in many cases to deal with this.” He went on to say that people behind the attacks are „pushing money out of the banks from within the banks,” by targeting computers that run automatic teller machines.

Możemy mieć w sumie podobną akcję jak niegdysiejszy CarbanakŚlady ataku wykryto w 40 krajach – były to banki, ale też telcomy czy sieci rządowe:

Za: Kaspersky

Akcja wykorzystuje znane narzędzia: Mimikatz, Meterpreter, czy Powershell.

Wykrycie jest ~proste. Należy na pewno sprawdzić w rejestrze następujące miejsca pod względem występowania podejrzanych dopisków (oczywiście nie wszystkie wpisy w tych lokalizacjach muszą być nietypowe):

HKLM\SYSTEM\ControlSet001\services\

HKLM\SYSTEM\ControlSet001\services\PortProxy\v4tov4\tcp

Załoga z Kasperskiego proponuje również przeszukać rejestr pod względem ciągów poniżej (choć adresy IP mogą się różnić; przede wszystkim nietypowy i podejrzany powinien być port 4444, z drugiej strony twórcy malware łatwo mogą to zmienić…):

  • powershell.exe -nop -w hidden -e
  • 10.10.1.12/8080
  • 10.10.1.11/4444

–ms

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Arek

    Jedna z zabawek selenium dziala domyślnie na porcie 4444…
    To także malware? ;)

    Odpowiedz
    • Sam port oczywiście nie daje 100% pewności. I dużo rzeczy działa na 4444 (choć to raczej port nietypowy niż typowy). To też AFAIR domyślny port dla wielu shellpayloadów w Metasploit.

      Odpowiedz
  2. jurek

    coraz bardziej wygląda mi to na próbę pozostania na wodzie producenta Antywirusów.
    Dziwnym trafem ostatnio dużo znajdują :-]

    Odpowiedz
    • Dopóki znajdują coś sensownego, to dlaczego nie? :)

      Odpowiedz
      • alientm

        Znajdują, ale pytanie ile trwa od czasu zainfekowania takim „nowym” malware do czasu jego odkrycia. Mam obawy że nie mało a zapewne nie wiele czasu trzeba aby przy jego użyciu pobrać interesujące dane z urządzeń.

        Ilość takiego nieodkrytego i niechcianego oprogramowania zapewne jest zaskakująco duża.

        Odpowiedz
        • venzel

          Jezeli ta sama osoba przygotowuje zagrozenie i zabezpieczenie nie trwa to dlugo ;)

          Odpowiedz
    • Kaspersky to bardzo stronnicze i wątpliwe źródło. Podejrzane relacje z Kremlinem. Zaraz po tym jak Snowden zamieszkał w Rosji opublikowali dziesiątki odkryć. Tutaj moje podejrzenia budzi biała plama w centrum i na północy Europy. Wierzyć się nie chce, że nic nie odkryto…

      Odpowiedz
  3. Zdzichu

    Klucz
    HKLM\SYSTEM\ControlSet001\services\ jest podejrzany? To trochę dziwne pod tym kluczem standardowo są dziesiątki wpisów

    Odpowiedz
    • nie podejrzany, tylko podejrzane wpisy w tej gałęzi

      Odpowiedz

Odpowiedz