Εξετάζοντας το Pkybot



Σχετικά έγγραφα
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Διαχείριση Ασφαλείας (Ι) Απειλές Ασφαλείας Συμμετρική & Μη-Συμμετρική Κρυπτογραφία

Οι απειλές. Απόρρητο επικοινωνίας. Αρχές ασφάλειας δεδομένων. Απόρρητο (privacy) Μέσω κρυπτογράφησης

Ιόνιο Πανεπιστήμιο Τμήμα Πληροφορικής Εισαγωγή στην Επιστήμη των Υπολογιστών Ασφάλεια Δεδομένων.

Λογισμικό για το Σχολικό εργαστήριο

YΒΡΙΔΙΚΗ ΚΡΥΠΤΟΓΡΑΦΙΑ

Σελίδες Βοήθειας - Υπηρεσία Ψηφιακών Πιστοποιητικών - Υπηρεσία Εγκατάσταση Πιστοποιητικών Αρχής Πιστοποίησης (ROOT CA)

Λογισμικό. Αντωνακάκης Αντώνιος Δήμος Ευάγγελος Χορόζογλου Γεώργιος

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ Δ Εξάμηνο

Αννα Νταγιου ΑΕΜ: 432. Εξαμηνο 8. Ερώτηση 1. Πληκτρολογήστε την εντολή: openssl help Παρατηρήστε τις πληροφορίες που λαµβάνετε.

ΗΜΕΡΟΛΟΓΙΟ ΓΛΩΣΣΑΡΙ ΔΙΑΔΙΚΤΥΟΥ

ΠΡΟΜΗΘΕΙΑ ΔΗΜΟ ΛΕΒΑΔΕΩΝ

Εισαγωγή στην επιστήμη της Πληροφορικής και των. Aσφάλεια

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ. Δ Εξάμηνο

Εισαγωγή στην επιστήμη της Πληροφορικής και των Τηλεπικοινωνιών. Aσφάλεια

Δίκτυα Υπολογιστών Ενότητα 6: Secure Sockets Layer - SSL

8.3.4 Τεχνικές Ασφάλειας Συμμετρική Κρυπτογράφηση Ασυμμετρική Κρυπτογράφηση Ψηφιακές Υπογραφές

ΕΓΧΕΙΡΙΔΙΟ ΧΡΗΣΗΣ ΨΗΦΟΦΟΡΟΥ

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ Δ Εξάμηνο

ΔΙΚΤΥΑ ΥΠΟΛΟΓΙΣΤΩΝ ΙΙ

Εισαγωγή στην επιστήμη της Πληροφορικής και των Τηλεπικοινωνιών. Aσφάλεια

Ρ ΓΑ Σ Τ Ή Ρ Ι Ο 8 Α Σ Φ Ά Λ Ε Ι Α Σ Π Λ Η Ρ Ο Φ Ο Ρ Ι Κ Ώ Ν Σ Υ Σ Τ Η Μ ΆΤ Ω Ν

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ Δ Εξάμηνο

Ηλεκτρονικό εμπόριο. HE 7 Τεχνολογίες ασφάλειας

Σηµειώσεις εγκατάστασης του συστήµατος εκτύπωσης HP LaserJet σειράς P2015

α. Προσωπικά δεδομένα που δύνανται να ζητηθούν από την σελίδα.

Πολιτική για τα cookies

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ. Δ Εξάμηνο

Εργαστήριο Ασφάλεια Πληροφοριακών Συστημάτων SSL/TLS

Περιεχόµενα. Μέρος I Βασικά στοιχεία των Microsoft Windows XP Professional. Ευχαριστίες Εισαγωγή... 19

ΕΝΗΜΕΡΩΤΙΚO - ΑΝΑΚΟΙΝΩΣΗ

Ασφάλεια Υπολογιστικών Συστημάτων

Κεφάλαιο 22. Πρωτόκολλα και πρότυπα ασφαλείας του Διαδικτύου

ΣΕΜΙΝΑΡΙΟ. ΠΑΡΟΥΣΙΑΣΗ 19/5/11 Αµφιθέατρο

F.A.Q. (ΣΥΧΝΕΣ ΕΡΩΤΗΣΕΙΣ)

Εγχειρίδιο Συμμετοχής σε Ψηφοφορία για την ανάδειξη Διευθυντή Σχολής ΤΕΙ ΑΘΗΝΑΣ 2014

ΠΡΟΣ: Κάθε ενδιαφερόμενο. Θεσσαλονίκη, 18 /11/2016

ΑΝΑΠΑΡΑΓΩΓΗ ΜΑΘΗΣΙΑΚΩΝ ΑΝΤΙΚΕΙΜΕΝΩΝ ΣΤΟ ΦΩΤΟΔΕΝΤΡΟ ΜΑΘΗΣΙΑΚΑ ΑΝΤΙΚΕΙΜΕΝΑ

ΟΔΗΓΟΣ ΕΓΚΑΤΑΣΤΑΣΗΣ ΠΙΣΤΟΠΟΙΗΤΙΚΟΥ ΑΣΦΑΛΕΙΑΣ WEBMAIL ΤΕΙ ΚΑΛΑΜΑΤΑΣ

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ Δ Εξάμηνο. Ψηφιακή Υπογραφή και Αυθεντικοποίηση Μηνύματος

ΤΕΛΟΣ 1ΗΣ ΑΠΟ 6 ΣΕΛΙΔΕΣ

Πρωτόκολλα Ασφάλειας IΙ

Αλλαγή συστήματος ασφαλείας ενεργοποίησης εκτέλεσης DOS εφαρμογών Singular και των αντίστοιχων 32 bit

Οδηγός των Ελληνικών Microsoft WINDOWS 7

11/8/18. Κεφάλαιο 3. Συνεργασία και εργασία στο web. Χρήση του Internet: Πώς θα εκμεταλλευτούμε καλύτερα τους πόρους του web.

Σχεδιασμός Εικονικών Δικτύων Ενότητα 4β: VPN on IPSec (Μέρος 2ο)

ΕΓΧΕΙΡΙ ΙΟ ΡΥΘΜΙΣΕΩΝ ΓΙΑ ΤΗΝ ΠΡΟΣΒΑΣΗ ΣΕ ΗΛΕΚΤΡΟΝΙΚΟΥΣ ΠΟΡΟΥΣ ΙΚΤΥΟ ΒΙΒΛΙΟΘΗΚΩΝ ΤΟΥ ΙΝΣΤΙΤΟΥΤΟΥ ΘΕΡΒΑΝΤΕΣ

Ημερομηνία Παράδοσης: 4/4/2013

Ανδρέας Παπαζώης. Τμ. Διοίκησης Επιχειρήσεων

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ. Δ Εξάμηνο

Τηλεδιάσκεψη μέσω της υπηρεσίας e:presence. Σύνδεση στην Υπηρεσία e:presence

PayByBank RESTful API GUIDE

ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΣΤΙΣ ΤΕΧΝΟΛΟΓΙΕΣ ΠΛΗΡΟΦΟΡΙΚΗΣ ΚΑΙ ΕΠΙΚΟΙΝΩΝΙΩΝ ΚΑΘΩΣ ΚΑΙ ΣΤΟ ΔΙΑΔΙΚΤΥΟ

Μαλούτα Θεανώ Σελίδα 1

Για περισσότερες πληροφορίες σχετικά με τη συμβατότητα του λογισμικού με άλλα λειτουργικά συστήματα, επικοινωνήστε με το τμήμα υποστήριξης πελατών.

Προμήθεια Ασφαλών Διατάξεων Δημιουργίας Υπογραφής (ΑΔΔΥ) τύπου USB Tokens

Κωδικός: ΠΠ Έκδοση: 1 Ημερομηνία: 28/05/2019 Σελίδα 1 από 7 ΠΟΛΙΤIΚΗ ΑΠΟΡΡΗΤΟΥ ΜΙΣΣΙΡΙΑΝ Α.Ε.

Εγκατάσταση λειτουργίας Σάρωση σε

Παύλος Εφραιμίδης. Κρυπτογραφικά Πρωτόκολλα. Ασφ Υπολ Συστ

LC Sweex Wireless LAN PC Card 54 Mbps

Σύγχρονες Απειλές & Προστασία. Γιάννης Παυλίδης Presales & Tech Support Engineer

Πρωτόκολλα Επικοινωνίας και Τείχος Προστασίας

Α.Μ.:36/2018 ΤΕΧΝΙΚΗ ΕΚΘΕΣΗ

Κάποια ransomware μπορεί να είναι μεταμφιεσμένα. Να σας εμφανίζονται για παράδειγμα ως προειδοποιητικά μηνύματα του τύπου "Ο υπολογιστής σας έχει

Τεχνολογίες & Εφαρμογές Πληροφορικής Ενότητα 10: Ασφάλεια στο Διαδίκτυο

Εφαρμοσμένη Κρυπτογραφία Ι

Εφαρμοσμένη Κρυπτογραφία Ι

Σχεδίαση Εφαρμογών και Υπηρεσιών Διαδικτύου 11η Διάλεξη: Ασφάλεια στο Web

Περιεχόµενα. Ξεκίνηµα µε τα Windows XP 1. Αποδοτική εργασία µε τα Windows ΧΡ 19

11:56 AM. Έξυπνες συσκευές. έξυπνοι χρήστες. Password:

Ασφάλεια Υπολογιστικών Συστημάτων

Paybybank RESTful API GUIDE

«Εξαιρετική δουλειά, ευχαριστώ»: Μπορεί να μην μάθετε ποτέ τα περιστατικά ψηφιακής ασφάλειας που έχουν προκληθεί από τους υπαλλήλους σας

Έκδοση 4.0 Φεβρουάριος P Xerox App Gallery Οδηγός χρήσης

1. Τι είναι ακεραιότητα δεδομένων, με ποιους μηχανισμούς επιτυγχάνετε κ πότε θα χρησιμοποιούσατε τον καθένα εξ αυτών;

ΟΔΗΓΟΣ ΧΡΗΣΤΗ ΠΛΑΤΦΟΡΜΑΣ

Cloud Computing with Google and Microsoft. Despoina Trikomitou Andreas Diavastos Class: EPL425

Εξοικείωση με τις εντολές ipconfig και ping

ΑΣΦΑΛΕΙΑ & ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ(Θ)

Οδηγός Εγκατάστασης και Χρήσης του Arebas Easy

11:56 AM. Έξυπνες συσκευές. έξυπνοι χρήστες. Password:

Κεφάλαιο 21. Κρυπτογραφία δημόσιου κλειδιού και πιστοποίηση ταυτότητας μηνυμάτων

LC Sweex Wireless LAN USB 2.0 Adapter 54 Mbps

Norton. AntiVirus. Εγχειρίδιο προϊόντος

ΠΡΟΤΕΙΝΟΜΕΝΑ ΘΕΜΑΤΑ ΣΤΑ ΔΙΚΤΥΑ ΥΠΟΛΟΓΙΣΤΩΝ ΙΙ Γ Τάξη Ε.Π.Α.Λ.

KΕΦΑΛΑΙΟ 5 ΨΗΦΙΑΚΕΣ ΥΠΟΓΡΑΦΕΣ

Διακριτά Μαθηματικά ΙΙ Χρήστος Νομικός Τμήμα Μηχανικών Η/Υ και Πληροφορικής Πανεπιστήμιο Ιωαννίνων 2018 Χρήστος Νομικός ( Τμήμα Μηχανικών Η/Υ Διακριτά

Ενδοσχολική Επιμόρφωση Εκπαιδευτικών Εσπερινού Γυμνασίου στις ΤΠΕ Δράση: Αυτοαξιολόγηση Σχολικής Μονάδας. Ο Παγκόσμιος Ιστός

Διαχείριση Ασφάλειας και Εμπιστοσύνης σε Πολιτισμικά Περιβάλλοντα

ΟΔΗΓΟΣ ΓΡΗΓΟΡΗΣ ΕΝΑΡΞΗΣ

Kaspersky Internet Security

«ΖΕΥΣ» Εγχειρίδιο Συμμετοχής σε Ψηφοφορία

ΤΕΙ ΗΠΕΙΡΟΥ Τμήμα Τηλεπληροφορικής & Διοίκησης

Αναφορά εργασιών για το τρίμηνο Δεκέμβριος 2012 Φεβρουάριος 2013 Όνομα : Μπελούλη Αγάθη

«Προηγμένη ηλεκτρονική υπογραφή» ή «ψηφιακή υπογραφή»

ΣΥΝ ΕΣΗ Η/Υ ΣΤΟ LAN TOY ΙΟΝΙΟΥ ΠΑΝΕΠΙΣΤΗΜΙΟΥ ΛΕΙΤΟΥΡΓΙΚΟ ΣΥΣΤΗΜΑ WINXP(ΕΛΛΗΝΙΚΑ)

Εγκατάσταση Mozilla Firefox

Οδηγίες Εγκατάστασης και Χρήσης Ψηφιακών Πιστοποιητικών

ΗΛΕΚΤΡΟΝΙΚΕΣ ΥΠΗΡΕΣΙΕΣ ΝΗΟΛΟΓΗΣΗΣ ΠΛΟΙΩΝ

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ

PayByBank RESTful API

Transcript:

T4106/07/08.2015 Issue Εξετάζοντας το Pkybot Τους τελευταίους μήνες, η ASERT παρακολουθεί ένα σχετικά νέο κακόβουλο λογισμικό ( banker ), το οποίο είναι γνωστό ως Pkybot. Έχει επίσης κατηγοριοποιηθεί ως παραλλαγή του Bublik, αλλά το πρώτο όνομα περιγράφει πολύ καλύτερα το κακόβουλο λογισμικό. T ο άρθρο αυτό επιχειρεί να ρίξει μια ματιά σε ορισμένα από τα επιμέρους στοιχεία του Pkybot και της εκστρατείας στην οποία χρησιμοποιείται. To visibility που παρέχεται μπορεί να βοηθήσει τους οργανισμούς να αντιληφθούν, να εντοπίσουν και να προστατευτούν καλύτερα από αυτή την απειλή. Δείγμα Ένα από τα πρόσφατα δείγματα που αναλύθηκαν από την ASERT έχει τους παρακάτω ψηφιακά αποτυπώματα (hashes): MD5: 9028d9b64a226b750129b41fbc43ed5e SHA256: 38eb7625caf209ca2eff3fa46b8528827b7289f1 Τη στιγμή που γραφόταν αυτό το κείμενο, υπήρχε αναλογία εντοπισμού VirusTotal 16/57, με σχεδόν όλους τους εντοπισμούς να είναι γενικής φύσης. Το καλό για τους μηχανικούς είναι ότι αυτό το δείγμα δεν περιλαμβάνεται σε πακέτο. Pkybot Παρόλο που το κακόβουλο λογισμικό έχει ερευνηθεί ήδη [1] [2], η επανεξέταση και η ανάλυση είναι πάντα καλές πρακτικές. Κρυπτογραφημένα bit Το Pkybot περιέχει διάφορα ενδιαφέροντα στοιχεία, τα οποία είναι κρυπτογραφημένα με τον αλγόριθμο κρυπτογράφησης XTEA. Το κλειδί που χρησιμοποιείται δημιουργείται κατά το χρόνο εκτέλεσης από μια hardcoded seed τιμή χωρίς δυνατότητα τροποποίησης (DWORD): Μαζί με το κλειδί XTEA που δημιουργείται, αυτή η δέσμη ενεργειών IDA μπορεί να χρησιμοποιηθεί για να αποκρυπτογράφησει: Ονόματα λειτουργιών των Windows που επιλύονται/χρησιμοποιούνται κατά το χρόνο εκτέλεσης Διάφορες συμβολοσειρές κειμένου Αρχείο ρύθμισης παραμέτρων Εκτελέσιμο αρχείο ρύθμισης παραμέτρων Αφού αποκρυπτογραφηθεί, η ρύθμιση παραμέτρων είναι έ- να βασικό αρχείο που μοιάζει με XML, το οποίο αποτελείται από διευθύνσεις URL εντολής και ελέγχου (C2): Εντολή και έλεγχος PKEY Η πρώτη επικοινωνία C2, η οποία είναι και συνώνυμη του κακόβουλου λογισμικού, είναι το αίτημα PKEY. Είναι ένα HTTP POST με την εξής μορφή: Μπορεί επίσης να δημιουργηθεί χρησιμοποιώντας αυτό το τμήμα κώδικα Python. 2 security

Dennis Schwarz Research Analyst, Arbor s ASERT Team Το PKEY είναι σύντμηση του δημόσιου κλειδιού RSA, καθώς αυτό επιστρέφει ο διακομιστής C2: Τα δεδομένα εντολής μπορούν να χωριστούν σε δύο τμήματα. Το πρώτο είναι μια συμβολοσειρά ερωτήματος που αποτελείται από πέντε ζεύγη ονόματος/τιμής. Καθένα από τα πέντε ονόματα αποτελείται από 10 έως 29 τυχαία γράμματα και οι τιμές τους είναι οι εξής: Βot ID(με βάση την τιμή μητρώου MachineGuid) Αριθμός εντολής (βλέπε παρακάτω) Μια διαφορά ώρας (με βάση τις κλήσεις API QueryPerformanceCounter και QueryPerformanceFrequency ) Όνομα αρχείου (συνδυασμός τυχαίων γραμμάτων και λέξεων χωρίς δυνατότητα τροποποίησης) Πληροφορίες συστήματος (βλέπε παρακάτω) Εκτός από αυτό που εμφανίζεται στο παραπάνω στιγμιότυπο οθόνης, το μόνο άλλο κλειδί που έχει παρατηρήσει η ASERT είναι το εξής: BEGIN PUBLIC KEY MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC3C yhcm5oloqqye5zdrdlzjoss g9jv1pdoben63snfe3sxwyccjcqzbtlgiaep2vogvlqda BsHjPV+ChHUGK9IMqyU 98Dw6Y5JLnrNssa9W1JDqdetNqNP7r5rt+PyzktcPGFrR5 K8XWB4uJWXpwXKhFVy ior1xzfrevs47mee/qidaqab END PUBLIC KEY Εντολή και έλεγχος Εντολές Οι εντολές C2 στέλνονται μέσω αιτημάτων HTTP POST με κρυπτογραφημένα δεδομένα POST: Οι αριθμοί εντολής που έχουν αναγνωριστεί είναι οι εξής: 1 Επιστροφή αρχείου ρύθμισης παραμέτρων δικτύου (βλέπε παρακάτω) 2 Επιστροφή webinject (βλέπε παρακάτω) 5 Επιστροφή ενημερωμένου εκτελέσιμου Pkybot των 32 bit 6 Επιστροφή ενημερωμένου εκτελέσιμου Pkybot των 64 bit 8 Επιστροφή αρχείου DLL 32 bit (βλέπε παρακάτω) 9 Επιστροφή αρχείου DLL 64 bit (βλέπε παρακάτω) 10 Επιστροφή αρχείου EXE 32 bit (βλέπε παρακάτω) 11 Επιστροφή του ίδιου αρχείου με την εντολή 10 Οι «πληροφορίες συστήματος» είναι ένα αρχείο κειμένου διαχωρισμένο με \r\n που περιλαμβάνει την έκδοση των Windows και το εγκατεστημένο λογισμικό του μολυσμένου μηχανήματος. Ένα παράδειγμα είναι το εξής: Microsoft Windows XP Professional Service Pack 3 (build 2600) Adobe AIR Adobe Flash Player 10 Plugin Acrobat.com FileZilla Client 3.9.0 Google Chrome Windows Internet Explorer 8 Update for Windows XP (KB2467659) Το αρχείο κειμένου συμπιέζεται με το gzip και κατόπιν κωδικοποιείται με base64. Αν τα ενώσουμε όλα αυτά, ένα παράδειγμα συμβολοσειράς ερωτήματος απλού κειμένου έχει την εξής μορφή: security 3

T4106/07/08.2015 Issue Τείνει να περιλαμβάνει πρόσθετες διευθύνσεις URL και επιλογές C2 για τη λειτουργικότητα MitB (man-in-the-browser) του Pkybot. Εντολή 8/9 Αρχείο DLL τύπου MitB Το μεγαλύτερο μέρος της λειτουργικότητας MitB του Pkybot υλοποιείται στο αρχείο DLL που λαμβάνεται ως απόκριση στις εντολές 8 και 9. Αυτή η δημοσίευση θα αφήσει μια ενδελεχή ανάλυση του αρχείου DLL για μελλοντική έρευνα, αλλά γενικά χρησιμοποιεί παρεμβολή διεργασίας και αγκίστρωση λειτουργίας για να υλοποιήσει τη λειτουργικότητα. Αφού δημιουργηθεί η συμβολοσειρά ερωτήματος, δημιουργούνται δύο τυχαία κλειδιά XTEA 16 byte. Το πρώτο χρησιμοποιείται για την κρυπτογράφηση της συμβολοσειράς ε- ρωτήματος και το δεύτερο χρησιμοποιείται για την αποκρυπτογράφηση της απόκρισης από το διακομιστή C2. Αυτά τα δύο κλειδιά κρυπτογραφούνται και τα ίδια με RSA (PKCS 1, έκδοση 1.5), χρησιμοποιώντας το δημόσιο κλειδί που είχε ληφθεί προηγουμένως από το C2. Τέλος, τα δύο κρυπτογραφημένα κομμάτια συνενώνονται μεταξύ τους στα τελικά POST data(όπου το κίτρινο μέρος είναι κρυπτογραφημένο με RSA και το πράσινο μέρος είναι κρυπτογραφημένο με XTEA): Οι αποκρίσεις των εντολών από το C2 κρυπτογραφούνται με XTEA (χρησιμοποιώντας το τυχαίο κλειδί αποκρυπτογράφησης που στάλθηκε στο αίτημα) και συμπιέζονται με το Zlib. Ένα παράδειγμα αρχείου DLL έχει τους παρακάτω κωδικούς κατακερματισμού: MD5: cb3d9850f7864489750c25b952d1bc25 SHA256: 9c9aaabb60ca27324da0cdfdd9715b6d0c9c69412 17411ef5bf20930d0eadab0 Τη στιγμή που γραφόταν αυτό το κείμενο, το VirusTotal είχε αναλογία εντοπισμού 4/56 για το αρχείο DLL. Εντολή 2 Webinject Η εντολή 2 επιστρέφει το άλλο στοιχείο που χρησιμοποιείται από την υλοποίηση MitB: τα webinject. Το Pkybot χρησιμοποιεί τη μορφή webinject του Zeus που αποτελείται από τους δείκτες set_url, data_before, data_inject και data_after. Έ- να παράδειγμα είναι το εξής: Εντολή 1 Αρχείο ρύθμισης παραμέτρων δικτύου Το αρχείο ρύθμισης παραμέτρων δικτύου είναι μια εκτεταμένη έκδοση του εκτελέσιμου αρχείου ρύθμισης παραμέτρων: Αυτό το παράδειγμα προσθέτει μια βασική ανακατεύθυνση JavaScript στη σελίδα-στόχο. Μέσα στο πρόγραμμα περιήγησης, ο πηγαίος κώδικας της τοποθεσίας-στόχου έχει της εξής μορφή πριν από την παρεμβολή: 4 security

PaaS is coming Και αυτή τη μορφή μετά την παρεμβολή: Εντολή 10/11 Αρχείο EXE των 32 bit Οι εντολές 10 και 11 επιστρέφουν το ίδιο αρχείο EXE των 32 bit. Ένα παράδειγμα έχει τους παρακάτω κωδικούς κατακερματισμού: MD5: 5759b592fba82f44bae0edfa862bf77b SHA256: 864dff5cc930c259e34fd04840a5115f61236e6affb b6fed3af49c78e0aa1460 Η ανάλυση του εκτελέσιμου αρχείου αφέθηκε για μελλοντική έρευνα, αλλά έχει χαμηλή αναλογία εντοπισμού VirusTotal (2/56 τη στιγμή που γραφόταν αυτό το κείμενο) [8] και μια ενδιαφέρουσα συμβολοσειρά PDB: E:\WORK\Core\EXPLOITS\ExploitPack\Release\ ExploitPack.pdb Εκστρατεία Η χρήση των αρχείων ρύθμισης παραμέτρων που εξάγονται από τα εκτελέσιμα Pkybot και τους διακομιστές C2 επιτρέπει τη βολική ομαδοποίηση των δεδομένων κεντρικού υπολογιστή C2. Το παρακάτω είναι ένα πρόχειρο χρονοδιάγραμμα του πότε παρατηρήθηκαν συγκεκριμένες ομαδοποιήσεις C2 στο αποθετήριο κακόβουλου λογισμικού της ASERT: 29 Ιουνίου * mukosoma.com * boblaktto.com * feredac.com 1 Ιουλίου * pallodare.com * potopland.com * koplodaro.com 2 Ιουλίου * bolobranca.com * nanoputanas.com * pannogen.com 6 Ιουλίου * manafasia.com * noisymemo.org * garbux.com 9 Ιουλίου * giga-flock.com * megakatana.com * monogera.com 11 Ιουλίου * fergerama.com * hirobakan.com * golokird.com 13 Ιουλίου Α * bolobranca.com * fedorena.com * neyetta.com * votublist.com 13 Ιουλίου Β * nanoputanas.com * bolobranca.com * fedorena.com * neyetta.com * votublist.com 16 Ιουλίου * monogera.com * claus-management.com * pannogen.com 20 Ιουλίου * fergerama.com * hirobakan.com 9 Αυγούστου * nuratrben.com * liopnret.com * superzhopper.com * xezikalanre.com * fanera-distribution.com * opilki-limited.com * duteraneh.com * becadogale.com * pannogen.com Τη στιγμή που γραφόταν αυτό το κείμενο, η ομάδα που ξεκίνησε στις 9 Αυγούστου ήταν ενεργή στο Διαδίκτυο. Με βάση τα δεδομένα της ASERT και το παθητικό DNS του VirusTotal, η παρακάτω είναι μια ομαδοποίηση των διευθύνσεων ΙΡ που χρησιμοποιήθηκαν από τους 30 παραπάνω μοναδικούς τομείς C2 (για δείκτες που βασίζονται σε κείμενο, βλέπε Παράρτημα 1): security 5

T4106/07/08.2015 Issue Ενώ έχουμε παρατηρήσει 32 μοναδικές διευθύνσεις ΙΡ, δεν υπάρχει μεγάλη αλληλεπικάλυψη τομέων. Σύμφωνα με τις δύο παραπάνω πηγές δεδομένων, 12 από τους τομείς δεν έχουν επιλυθεί ποτέ. Η ομαδοποίηση των τομέων C2 κατά δεδομένα Whois, συγκεκριμένα τη διεύθυνση email καταχώρισης, είναι λίγο πιο διαφωτιστική: Sinkhole Για να εκμεταλλευτεί αυτή την ευκαιρία, η ASERT καταχώρισε έναν από αυτούς τους τομείς και δημιούργησε μια ένα sinkhole από τις 11 έως τις 24 Αυγούστου. Εκτός από τους συνήθεις περιορισμούς των δεδομένων sinkhole, είναι άξιο αναφοράς ότι ενώ ήταν ενεργό το sinkhole μας, το ανταγωνιζόταν ένας ενεργός κακόβουλος διακομιστής C2. Αυτό σημαίνει ότι τα δεδομένα μόλυνσης πιθανότατα είναι υποτιμημένα. Κατά τη διάρκεια της περιόδου των σχεδόν δύο εβδομάδων, το sinkhole, έλαβε συνδέσεις από 1879 μοναδικές διευθύνσεις ΙΡ. Με βάση την επίλυση ονόματος κεντρικού υπολογιστή, οι 5 κορυφαίοι TLD ήταν οι εξής: Η χαρτογράφηση των διευθύνσεων ΙΡ με βάση τον γεωεντοπισμό της διεύθυνσης IP έδωσε έναν παγκόσμιο χάρτη με την εξής μορφή: Έξι τομείς (δύο από τα συμπλέγματα) κρύβονται πίσω από προστασία απορρήτου. Το μικρότερο σύμπλεγμα (δύο τομείς) είναι καταχωρισμένο στη διεύθυνση: joseph@cuvox.de Το μεγαλύτερο σύμπλεγμα (17 τομείς) είναι καταχωρισμένο στη διεύθυνση: mant@teleworm.us Τέλος, το τελευταίο σύμπλεγμα (με πέντε τομείς) δεν είναι καταχωρισμένο. Αυτοί οι πέντε τομείς είναι ιδιαίτερα ενδιαφέροντες, επειδή ανήκουν στην πιο πρόσφατη ομάδα ρύθμισης παραμέτρων (όπως σημειώνεται παραπάνω). Webinject Παρόμοια με τις ομαδοποιήσεις C2 παραπάνω, μπορεί να δημιουργηθεί ένα πρόχειρο χρονοδιάγραμμα των στόχων webinject του Pkybot (κατά TLD): 6 security

PaaS is coming 29 Ιουνίου (συνολικά 44).gr 1 τράπεζα, 18 webinject.co.uk 4 τράπεζες, 23 webinject *booking*, *air.com*, *amazon* 30 Ιουνίου (συνολικά 49).gr 1 τράπεζα, 18 webinject.co.uk 4 τράπεζες, 23 webinject *booking*, *air.com*, *amazon* 2 Ιουλίου (συνολικά 50).gr 1 τράπεζα, 18 webinject.co.uk 4 τράπεζες, 23 webinject *booking*, *air.com*, *amazon*.es 4 τράπεζες, 6 webinject 9 Ιουλίου (συνολικά 13) *booking*, *air.com*, *amazon*, *travel*, *checkout*, *payment*, *paypal*.es 4 τράπεζες, 6 webinject 16 Ιουλίου (συνολικά ).es 4 τράπεζες, 6 webinject 21 Ιουλίου (συνολικά 5) 8 Αυγούστου (συνολικά 6) * (όλα) 13 Αυγούστου (συνολικά 5) Ο κεντρικός στόχος είναι τράπεζες στην Ελλάδα, το Ηνωμένο Βασίλειο και την Ισπανία. Μια ενδιαφέρουσα παρατήρηση είναι ότι τα webinject που στόχευαν ελληνικές τράπεζες αφαιρέθηκαν κατά τη διάρκεια μιας κρίσιμης καμπής στην ελληνική οικονομική κρίση απ ότι φαίνεται οι δράστες των επιθέσεων παρακολουθούσαν τις εξελίξεις. Τη στιγμή που γραφόταν αυτό το κείμενο, το επίκεντρο ήταν σε τρεις τράπεζες στην Ισπανία. Αυτή η στόχευση ταιριάζει με τα δεδομένα μόλυνσης του sinkhole, όπου το.es είναι δεύτερο σε μολύνσεις TLD και υπάρχει πράγματι ένα σύμπλεγμα από pins γεωεντοπισμού διεύθυνσης ΙΡ στην Ισπανία. Συμπέρασμα Αυτή η δημοσίευση εξέτασε ένα σχετικά νέο κακόβουλο λογισμικό του τραπεζικού τομέα, το οποίο είναι γνωστό ως Pkybot. Επικεντρώθηκε στην εξέταση του πρωτοκόλλου ε- ντολής και ελέγχου, την κατηγοριοποίηση των τομέων εντολής και ελέγχου και την ανάλυση των webinject. Τη στιγμή που γραφόταν αυτό το κείμενο και με βάση τη στόχευση των webinject και τα δεδομένα μόλυνσης του sinkhole, η εκστρατεία Pkybot είναι σχετικά μικρή και στοχευμένη. Προς το παρόν είναι ασαφές αν αυτή η απειλή θα επεκταθεί και πώς, αλλά to visibility που παρέχεται εδώ θα πρέπει να βοηθήσει τους οργανισμούς να αντιληφθούν, να εντοπίσουν και να προστατευτούν καλύτερα από αυτή την απειλή. Παράρτημα 1 Διευθύνσεις ΙΡ του C2 5.254.113.27 31.24.29.50 37.0.125.104 46.151.54.105 78.24.219.6 79.174.64.79 85.31.101.123 85.31.101.233 88.201.248.115 91.215.138.193 91.226.93.36 91.226.93.59 94.229.22.36 94.229.22.39 94.229.22.40 94.229.22.42 95.172.146.196 108.61.190.85 108.61.198.47 109.227.126.136 174.128.228.100 174.128.228.101 174.128.228.102 185.105.32.99 185.14.30.73 185.26.112.146 185.26.115.237 185.91.175.131 193.36.35.90 195.2.77.107 195.211.153.58 216.170.114.123 itsecurity security 7

2025 © DocPlayer.gr Πολιτική Απορρήτου | Όροι Χρήσης | Σχόλια