Äskettäin löydetty Slingshot-haittaohjelma oli piilotettu reitittimiin 6 vuoden ajan

Mikä on monivaiheinen haittaohjelma? Se ei ole uusi temppu, mutta se on uusi mobiililaitteille. Tästä syystä monivaiheinen haittaohjelma on niin vaarallinen Android-älypuhelimille.
Liukukannen, sävelkorkeuden tai esityksen rakentaminen? Tässä ovat suuret otot:
  • Slingshot-haittaohjelma näyttää olevan ensisijaisesti kohdistettuihin hyökkäyksiin tiettyjä henkilöitä vastaan.
  • Turvallisuustutkijoiden mielestä hyökkäys on "todennäköisesti valtion tukema", kun otetaan huomioon hyökkäyksen erittäin hienostunut ja organisoitu luonne.

Kaspersky Lab -ryhmän Securelist on tunnistanut erittäin edistyksellisen haittaohjelmistoperheen nimeltä "Slingshot", joka näyttää ensimmäisen kerran otettu käyttöön vuonna 2012 ja oli aktiivinen helmikuussa, kun tutkijat lopettivat tutkimuksensa. Kaspersky Labin tutkijat ovat tunnistaneet lähes 100 Slingshot APT: n (pitkälle kehitetty jatkuva uhka) kohdetta, mukaan lukien yksityishenkilöt, valtion virastot ja organisaatiot, jotka sijaitsevat pääasiassa Keniassa, Jemenissä, Libyassa ja Afganistanissa.

Tarkkaa hyökkäysvektoria ei tunneta selvästi, vaikka Slingshot APT: n tiedetäänkin käyttävän CVE-2007-5633, CVE-2010-1592 ja CVE-2009-0824 koodin suorittamiseen ytimen tason etuoikeuksilla, Securelist-raportin mukaan. Erityisen mielenkiintoista on Mikrotikin reitittimien vaarannettu rooli Slingshot-hyökkäyksessä. Tutkijat huomauttavat, että Mikrotikin hyökkäysmenetelmää ei myöskään tunneta, vaikka he viittaavat WikiLeaksin julkaisemaan "Chimay Red" -hyökkäykseen osana "Vault 7" -julkaisua haavoittuvuuksista, joiden WikiLeaks väittää johtuvan CIA: sta. On epäselvää, onko nollapäivän haavoittuvuus käytössä tässä hyökkäyksessä.

Raportin mukaan käyttäjät ovat saaneet tartunnan Mikrotik-reitittimien "Winbox Loader" -määritysohjelman kautta. Normaalissa toiminnassa ohjelmisto muodostaa yhteyden reitittimeen ja lähettää tietoja reitittimen tiedostojärjestelmästä isäntätietokoneelle. Yhdessä näistä tiedostoista - tallennettu laitteelle nimellä chmhlpr.dll, mutta siirrettynä nimellä ipv4.dll - on siihen implantoitu tiedostolataaja, joka isäntätietokoneen suorittaessa yhdistää reitittimeen ladataksesi lisää tiedostoja.

Securelist Slingshot UKK: n mukaan:

GollumApp sisältää toimintoja, joiden avulla se voi kerätä verkkotietoja, kerätä Firefoxiin ja Internet Exploreriin tallennettuja salasanoja, olla vuorovaikutuksessa leikepöydän kanssa, toimia näppäinlokkina, kerätä tietoja osioista ja USB-laitteista, lähettää ilmoituksia uusien laitteiden kytkettäessä ja injektoida moduuli "SsCB" käynnissä oleviin prosesseihin. SScB puolestaan ​​pystyy ottamaan kuvakaappauksia, keräämään tietoja avoimista ikkunoista, sulkemaan ikkunat ja järjestelmän sijainti.

Lisätietoja kyberturvallisuudesta

  • Kyberturvallisuus vuonna 2020: Kahdeksan pelottavaa ennustetta
  • Vuosikymmenen 10 tärkeintä kyberhyökkäystä
  • Kuinka tulla kyberturvallisuusprosessiksi: Huijarilehti
  • Kuuluisa mies Frank Abagnale: Rikos on tänään 4000 kertaa helpompaa

Slingshot APT: stä löytyy erilaisia ​​teknologisesti mielenkiintoisia tekniikoita. Itse Slingshot-latauslaite käyttää mukana olevaa DLL-korjaustekniikkaa, joka lisää moduulitiedostot sopivaan tiedostoon ja pakkaa osan alkuperäisestä säilyttääksesi saman tiedostokoko. Sitten se muuttaa DLL: n tulopistettä, laskee muuttuneen tiedoston tarkistussumman ja palaa sitten alkuperäiseen tiedostoon lataajan suorittamisen jälkeen, raportti sanoi.

Slingshot käyttää myös virtuaalista tiedostojärjestelmää, joka on sijoitettu käyttämättömään levyn osaan. Itsensä suojelemiseksi se poistaa levyn eheytys käytöstä, koska tämä toimenpide saattaa korvata piilotetun tiedostojärjestelmän, raportti totesi. Tämä strategia tekee huomattavasti vaikeammaksi virustorjuntaohjelmistoille - jotka yleensä skannaa tiedostojärjestelmän sisällön, ei itse raa'alta aseman pinnalta - Slingshotin havaitseminen. Se salaa myös moduuleissa olevan tekstin, soittaa järjestelmäpalveluille suoraan ja yrittää kiertää tarkistamista kutsumalla KdDisableDebugger () -sovellusta silloin, kun virheenkorjain on aktiivinen, muiden strategioiden joukossa, jotka on tarkoitettu turhauttamaan yrityksiä havaita haittaohjelmien käyttäytymistä.

Kuka loi Slingshot?

Tutkijat ilmoittivat, että Slingshotin luojat ovat todennäköisesti englanninkielisiä, koska ne perustuvat täydelliseen englantiin, joka löytyy virheenkorjausviesteistä, ja viittauksiin komponenttien nimistä löytyviin teoksiin JRR Tolkien.

Suojattu lista pidättäytyi nimeämästä tiettyä ryhmää Slingshotin luojaksi, vaikka huomautti, että ryhmä on "todennäköisesti erittäin organisoitu ja ammattimainen ja luultavasti valtion tukema".

Mikrotikin edustaja antoi tämän kommentin hyväksikäytön luonteesta:

... On epäselvää, miten tämä DLL-tiedosto pääsi MikroTik-reitittimen sisään. Todennäköisesti tämä liittyy aiemmin havaittuun haavoittuvuuteen www-palvelussa, joka korjattiin maaliskuussa 2017. Huomaa, että kyseessä olivat vain laitteet, joita ei ollut määritetty palomuurilla. Mainittujen korjausten jälkeen olemme toistuvasti lisänneet RouterOS-tiedostojärjestelmän tietoturvaa ja tehneet uusia sisäisiä mekanismeja estääksemme jotain tällaista tulevaisuudessa. Pidä laitteet ajan tasalla ja määritä palomuuri (jos olet poistanut oletusasetuksen käytöstä) estääksesi luvattomat IP: t pääsemästä reitittimeesi.

Kyberturvallisuuden sisäpiirilehti

Vahvista organisaatiosi tietoturvamekanismeja pitämällä ajan tasalla viimeisimmät tietoturvatiedotteet, ratkaisut ja parhaat käytännöt. Toimitetaan tiistaisin ja torstaisin

Rekisteröidy tänään

© Copyright 2020 | mobilegn.com