
Πρόσφατα ο ερευνητής ασφάλειας της Microsoft Αυστραλίας, Chung Feng , ανακάλυψε μια ιδιαίτερα εξελιγμένη τεχνική απόκρυψης σε ιό που διαθέτει δυνατότητες ηλεκτρονικής κατασκοπείας,υποκλοπής δεδομένων και απομακρυσμένης πρόσβασης.
Πίο συγκεκριμένα η εντοπισμένη από τον ερευνητή backdoor με την επωνυμία VirTool:WinNT/Exforel.A ( η Microsoft αναφέρει τις λεπτομέρειες του sample που εντόπισε εδώ ) διαπιστώθηκε οτι έχει υλοποιηθεί αμιγώς σε ιδιαίτερα χαμηλό επίπεδο ( σε επίπεδο NDIS -Network Driver Interface Specification level ) που προσφέρει ,ενα πλήθος εξαιρετικών δυνατοτήτων σχετικών με την απόκρυψη της ύπαρξης του ιού [ σχήμα 2 ].
Αυτό σημαίνει οτι η δημιουργία εξερχόμενων TCP συνδέσεων από την backdoor VirTool:WinNT/Exforel.A , θα ανακατευθυνθεί σε αλλοιωμένο TCP/IP stack και εν συνεχεία θα αποσταλεί προς τον τελικό αποδέκτη της backdoor. Ο τρόπος λειτουργίας διαγραμματικά της backdoor φαίνεται στο [ σχήμα 3 ]
To VirTool:WinNT/Exforel.A διαθέτει τις ακόλουθες δυνατότητες:
- Δυνατότητα άντλησης αρχείων.
- Δυνατότητα εκτέλεσης αρχείων.
- Δυνατότητα απομακρυσμένης εναπόθεσης αρχείων.
- Δυνατότητα δρομολόγησης TCP/IP πακέτων.
Έτσι δεν μπορεί να εντοπιστεί καποια ανοικτή πόρτα σύνδεσης ή πόρτα αναμονής συνδέσεων ( connection or listening ports ) με αποτέλεσμα ο εντοπισμός με παραδοσιακά εργαλεία να είναι εξαιρετικά δύσκολος καο χρονοβόρος.
Η δικτυακή κίνηση που δημιουργεί η backdoor είναι ουσιαστικά εντελώς αόρατη στις σχετικές δικτυακές εφαρμογές ασφάλειας που χρησιμοποιούν στην πλειονότητά τους οι χρήστες στους προσωπικούς τερματικούς σταθμούς τους ( firewalls, συσκευές network access control κ.α. ).
Η εν λόγω backdoor,όπως αναφέρει στην ανακοίνωσή του ο ερευνητής της Microsoft,έχει εμφανιστεί σε ιδιαίτερα στοχευμένες επιθέσεις εναντίον συγκεκριμένων οργανισμών και υπηρεσιών.
Ο ερευνητής δεν αποσαφηνίζει τα ονόματα το φορέων στα οποία βρέθηκαν “ηλεκτρονικές υπογραφές” και ίχνη του συγκεκριμένου malware, για λόγους προστασίας των θυμάτων της επίθεσης.
[ σχήμα 2 ]
[ σχήμα 3 ]
secnews.gr



Δεν υπάρχουν σχόλια :
Δημοσίευση σχολίου