Πέμπτη 10 Ιανουαρίου 2013

Νέες εξελιγμένες τεχνικές απόκρυψεις χρησιμοποιεί το VirTool:WinNT/Exforel.A !!





Πρόσφατα ο ερευνητής ασφάλειας της Microsoft Αυστραλίας, Chung Feng , ανακάλυψε μια ιδιαίτερα εξελιγμένη τεχνική απόκρυψης σε ιό που διαθέτει δυνατότητες ηλεκτρονικής κατασκοπείας,υποκλοπής δεδομένων και απομακρυσμένης πρόσβασης.

Πίο συγκεκριμένα η εντοπισμένη από τον ερευνητή backdoor με την επωνυμία VirTool:WinNT/Exforel.A ( η Microsoft αναφέρει τις λεπτομέρειες του sample που εντόπισε εδώ ) διαπιστώθηκε οτι έχει υλοποιηθεί αμιγώς σε ιδιαίτερα χαμηλό επίπεδο ( σε επίπεδο NDIS -Network Driver Interface Specification level ) που προσφέρει ,ενα πλήθος εξαιρετικών δυνατοτήτων σχετικών με την απόκρυψη της ύπαρξης του ιού [ σχήμα 2 ].

Αυτό σημαίνει οτι η δημιουργία εξερχόμενων TCP συνδέσεων από την backdoor VirTool:WinNT/Exforel.A , θα ανακατευθυνθεί σε αλλοιωμένο TCP/IP stack και εν συνεχεία θα αποσταλεί προς τον τελικό αποδέκτη της backdoor. Ο τρόπος λειτουργίας διαγραμματικά της backdoor φαίνεται στο [ σχήμα 3 ]

To VirTool:WinNT/Exforel.A διαθέτει τις ακόλουθες δυνατότητες:

  • Δυνατότητα άντλησης αρχείων.
  • Δυνατότητα εκτέλεσης αρχείων.
  • Δυνατότητα απομακρυσμένης εναπόθεσης αρχείων.
  • Δυνατότητα δρομολόγησης TCP/IP πακέτων.

Η επιπέδου NDIS backdoor που έχει χρησιμοποιηθεί από τους δημιουργούς του VirTool:WinNT/Exforel.A κάνει χρήση εξελιγμένων τεχνικών απόκρυψης από αντίστοιχες παραδοσιακού τύπου backdoors.

Έτσι δεν μπορεί να εντοπιστεί καποια ανοικτή πόρτα σύνδεσης ή πόρτα αναμονής συνδέσεων ( connection or listening ports ) με αποτέλεσμα ο εντοπισμός με παραδοσιακά εργαλεία να είναι εξαιρετικά δύσκολος καο χρονοβόρος.

Η δικτυακή κίνηση που δημιουργεί η backdoor είναι ουσιαστικά εντελώς αόρατη στις σχετικές δικτυακές εφαρμογές ασφάλειας που χρησιμοποιούν στην πλειονότητά τους οι χρήστες στους προσωπικούς τερματικούς σταθμούς τους ( firewalls, συσκευές network access control κ.α. ).

Η εν λόγω backdoor,όπως αναφέρει στην ανακοίνωσή του ο ερευνητής της Microsoft,έχει εμφανιστεί σε ιδιαίτερα στοχευμένες επιθέσεις εναντίον συγκεκριμένων οργανισμών και υπηρεσιών.
Ο ερευνητής δεν αποσαφηνίζει τα ονόματα το φορέων στα οποία βρέθηκαν “ηλεκτρονικές υπογραφές” και ίχνη του συγκεκριμένου malware, για λόγους προστασίας των θυμάτων της επίθεσης.


[ σχήμα 2 ]


[ σχήμα 3 ]

secnews.gr

Δεν υπάρχουν σχόλια:

Δημοσίευση σχολίου

Σημείωση: Μόνο ένα μέλος αυτού του ιστολογίου μπορεί να αναρτήσει σχόλιο.