Sociálne siete

SecIT.sk na Facebooku SecIT.sk na Google+ SecIT.sk na Twitteri Hosting zadarmo od WebSupport.sk

Podporte nás


V prípade, že Vám obsah nášho portálu niekedy nejakým spôsobom pomohol, či bol pre Vás prínosom prosím podporte jeho chod ľubovoľnou čiastkou. Ďakujeme!

Prihlásenie

Štítky

Vyhľadávanie

You are here

Domov

Crisis - malware infikujúci virtuálne počítače

Na internete sa šíri nový sofistikovaný a bezpochyby veľmi zaujímavý malware s názvom Crisis. Okrem svojej funkcionality pripomínajúcej profesionálny špionážny nástroj je veľmi zaujímavé i jeho šírenie. Dokáže pracovať a šíriť sa na štyroch odlišných platformách – MAC OS X, Windows, Windows Mobile a prekvapivo vyhľadáva a infikuje i virtuálne počítače. Ide o reakciu autorov malware na bojazlivých užívateľov, alebo o ďalší vysoko profesionálny cielený útok?

Spoločnosť Symantec oznámila minulý mesiac objavenie nového malware pre platformu Mac. Dostal pomenovanie OSX Crisis. Spoločnosť Kaspersky onedlho ohlásila, že šírenie tejto infiltrácie prebieha prostredníctvom JAR súborov aj za využitia techník sociálneho inžinierstva.

JAR súbor sa ponúkal na stiahnutie pod názvom AdobeFlashPlayer.jar s údajným digitálnym podpisom VeriSign Inc.



JAR súbor obsahuje okrem spustiteľného súboru pre Mac aj vykonateľný súbor pre Windows. Pred spustením tohto súboru sa určí typ operačného systému. Variant infikujúci Windows nesie podľa Symantecu označenie W32.Crisis.

Šírenie

Zaujímavé na hrozbe Crisis je bezpochyby šírenie. Prvým spôsobom je kopírovanie súboru autorun.inf na vymeniteľné média. Ďalším je kopírovanie súčastí na zariadenia so systémom Windows Mobile. A tým najzaujímavejším je infikovanie virtuálnych počítačov vytvorených pomocou softvéru od VMware.



Pri šírení na zariadenia so systémom Windows Mobile používa malware Remote Application Programming Interface (RAPI). Vďaka tomu nemôže ohroziť systémy s Google Androidom, či Apple IOS. Analytikom Symantecu sa však zatiaľ k vzorkám modulov určených pre Windows Mobile nepodarilo dostať.

Vyhľadáva obrazy diskov vytvorené pomocou VMware

Infiltrácia hľadá na disku infikovaného počítača obraz virtuálneho stroja od VMware a ak ho nájde tak k obrazu pripojí svoju kópiu za pomoci nástroja VMware Player. K tomuto počinu nevyužíva Crisis žiadnu zraniteľnosť v softvéri od VMware. Využíva len všeobecnú vlastnosť virtualizačných aplikácií. Tá spočíva v tom, že virtualizačný softvér len spojí súbor, alebo sériu súborov na disku počítača.

Analytici spoločnosti Symantec tvrdia, že môže ísť o prvý malware, ktorý sa pokúša o šírenie do virtuálnych počítačov. Mnoho infiltrácií v súčasnosti už samozrejme dokáže detegovať, že sa jedná o simulované prostredie. No ich reakciou na takéto prostredie je ukončenie svojej činnosti. Crisis sa však do simulovaného prostredia priamo kopíruje, môže tak ísť o míľnik vo filozofii autorov malware.

Funkcionalita

V ponuke funkcií Crisisu sa nachádza možnosť nahrávania hovorov realizovaných prostredníctvom Skypu, dokáže sledovať komunikáciu instant messaging (IM) programov ako Adium a Microsoft Messenger for Mac, či zachytávať navštívené stránky prehliadačmi Firefox a Safari. Pokiaľ sa Crisis dostane na virtuálny počítač, o žiadnom ukončení jeho činnosti nemôže byť ani reč. Podobne ako na reálnom počítači i tu zachytáva dáta, ako napríklad finančné údaje použiteľné pre on-line nákupy. Autori Crisisu vyvinuli tiež značné úsilie na uistenie sa, že nové varianty tohto malwaru nebudú po ich vydaní detekovateľné antivírusmi. Jednou vetou by sa možno dal zámer Crisisu definovať ako: Jeho cieľom je dostať sa do vnútra a ukradnúť maximálne množstvo informácií.

Je Crisis reakciou na správanie sa bojazlivých užívateľov?

Užívatelia s vyšším bezpečnostným povedomím, alebo povedzme aj tí paranoidnejší podľa odborníkov vykonávajú strategické operácie, alebo isté citlivé činnosti, ako sú napríklad bankové transakcie, či práve on-line nákupy, práve na virtuálnych strojoch. Môžu tam nainštalovať operačný systém menej náchylný na zraniteľnosti, či infekciu malwarom. Ďalším pozitívom pre týchto užívateľov je aj už vyššie spomínaný fakt, že autori malwaru často zámerne deaktivujú svoj výtvor ak sa im podarí identifikovať beh v rámci emulovaného prostredia. Robia tak preto, aby sťažili odborníkom spätnú analýzu. Je teda pravdepodobné, že autori tejto infiltrácie sa rozhodli zaujímať práve o typ užívateľov vykonávajúcich dôležité operácie z virtuálneho prostredia a to by znamenalo istý významný medzník pre tvorcov škodlivých kódov.

Ide o cielený útok?

V súčasnosti počet infikovaných počítačov touto hrozbou nie je vysoký. Spoločnosť Kaspersky Lab identifikovala 21 obetí v Taliansku, Mexiku, Iráne, Turecku, Iraku, Ománe, Brazílii, Kazachstane, Kirgizsku a Tadžikistane. Samozrejme iné bezpečnostné spoločnosti majú istotne údaje o ďalších obetiach. Ide o veľmi malý počet, čo by mohlo iritovať skôr cielený útok. So zaujímavým tvrdením prišli experti spoločnosti Intego. Podľa nich určité časti kódu Crisisu naznačujú prepojenie s trojanom vyvíjaným talianskou spoločnosťou s názvom HackingTeam. Tá sa podobne ako nedávno medializovaná spoločnosť Gamma Group venuje komerčnému vývoju nástrojov (resp. legitímnemu malwaru) pre spravodajské a iné bezpečnostné zložky na presadzovanie práva a pre účely dohľadu.

V každom prípade však ide o pozoruhodný malware. Dokáže sa šíriť a pracovať v štyroch odlišných platformách – MAC OS X, Windows, virtuálne počítače VMware a Windows Mobile. Ide teda o veľmi sofistikovaný škodlivý kód nielen v jeho funkcionalite, ale aj pri jeho šírení.

Zdroje: symantec.com, securelist.com, computerworld.com


Podporte nás


Páčil sa Vám tento článok? Ak áno, prosím podporte nás ľubovoľnou čiastkou. Ďakujeme!


ITC manažer Security-portal.cz Spamy.cz PHP Fushion Soom.cz
Hoax.cz Antivirove centrum Crypto-world.info SPYEMERGENCY.com