Connect with us

Hirdetés

technokrata

Legális szoftvereket használnak a láthatatlan célzott támadásokhoz

Adatvédelem

Legális szoftvereket használnak a láthatatlan célzott támadásokhoz

140-nél is több bank, telekommunikációs cég és kormányzati szervezet hálózatába hatoltak be Európában, Amerikában és Afrikában a Kaspersky legújabb jelentése szerint

A Kaspersky Lab szakértői nemrég olyan „láthatatlan”és célzott támadás-sorozatot észleltek, amelyhez széles körben elterjedt legális szoftvereket használtak, mint például a Windows PowerShell nevű rendszerkezelő, feladatautomatizáló platformját vagy adminisztrációs eszközöket. A támadás során a kártékony programokat nem a merevlemezre telepítették, hanem elrejtették az említett szoftverek memóriájába. Ez a metodika lehetővé teszi a rosszindulatú programok elfedését a nyomozók elől, ugyanis az ilyen behatolások során a bűnözők viszonylag kevés ideig „tartózkodnak” a megtámadott rendszeren, csupán információgyűjtésre használják.

 

2016 végén a Kaspersky Lab szakemberei felvették a kapcsolatot a FÁK tagállamok (a Szovjetunió 15 volt tagországának szövetsége) olyan bankjaival, amelyek behatolás-tesztelő programokat észleltek a szerverhálózatok memóriájában, mint például a Meterpreter programot. Ezt a programot manapság főként rosszindulatú célokra használják. A Kaspersky Lab fedezte fel, hogy a Meterpreter programkódját kombinálták a PowerShell legális szoftver parancsállományával és más egyéb szkriptekkel. Ez a kombináció alkalmas arra, hogy elrejtőzzön a memóriában és észrevétlenül gyűjtse az információkat, mint például rendszergazda jelszavakat és ilyen módon akár távolról is átvegye az irányítást az áldozat rendszerén. Úgy tűnik, a végső célja a kiberbűnözöknek a pénzügyi folyamatokhoz való teljes hozzáférés.

Kiderült, hogy a fent említett esetek nem egyediek, valójában tömeges támadásról beszélhetünk: több mint 140 vállalati hálózat elleni támadást regisztráltak számos üzleti szektorban. A legtöbb áldozat az Egyesült Államokban, Franciaországban, Ecuadorban, Kenyában, az Egyesült Királyságban és Oroszországban található. Összesen 40 országban észleltek fertőzött hálózatokat.

noname-2

Egyelőre ismeretlen a támadások elkövetője. A nyílt forráskód, a Windows segédprogramok és az ismeretlen domain nevek használata szinte lehetetlenné teszi, hogy meghatározzák a támadások elkövetőit. Jelenleg azt sem lehet megállapítani, hogy egy vagy akár több csoport használja ugyanazokat az eszközöket a támadásokra. A GCMAN és a Carbanak bűnöző csoport használ ehhez hasonló módszert.

A fent említett eszközök használata azt is megnehezíti, hogy a támadás részleteit megismerhessük. Egy kiber incidens során a szokásos felderítő eljárás folyamán a nyomozó követi a nyomokat és a mintákat, amit a támadók a fertőzött hálózatban hagytak. Míg a merevlemezen tárolt „hátrahagyott” adatokat akár a támadás után egy évvel is észlelni lehet, addig a memóriában tárolt kártékony programsorok a számítógép első újraindítása után törlődnek. Szerencsére ebben az esetben a szakértők időben hozzáfértek az adatokhoz.

“A támadók alapvető szándéka, hogy elrejtsék a tevékenységüket valamint nehezítsék a felderítésüket, ezért  a memória-alapú támadások egyre elterjedtebbek, ami tovább nehezíti a kártékony programok és azok funkcióinak elemzését. A fenti esetekben a támadók minden elképzelhető technikát felhasználtak és bemutatták, hogy már nem szükséges a malware-ek használata egy eredményes támadáshoz: a legális szoftverek és/vagy nyílt forráskódok alkalmazása tökéletesen ellehetetleníti a detektálást.

– mondta Sergey Golovanov, Kaspersky Lab fő biztonsági kutatója.

A támadók még mindig aktívak, ezért fontos megjegyezni, hogy egy ilyen támadás észlelése csak a memóriában és a hálózatban lehetséges valamint ilyen esetekben a Yara szabályok használata a nem használt kártevő fájlok átvizsgálásán alapul.

A kiber roham második részének részleteinek ismertetésével Sergey Golovanov és Igor Soumenkov az idei Biztonsági Elemzés Csúcstalálkozón (április 2-6. között) prezentálják, hogy a támadók miként próbálnak az ATM-eken keresztül egyedi módszerekkel pénzhez jutni.

A Kaspersky Lab termékei sikeresen észlelték a fenti módszereket, technikákat és eljárásokat. Bővebb információt az esetekről és a Yara-szabályok kriminalisztikai elemzéséről a Securelist.com blogon olvashat. A technikai részleteket, beleértve a „behatolásra utaló jeleket” (Indicators of Compromise) az ügyfelek számára a „Kaspersky Intelligence Servicesbiztosítja.

Az olyan csoportos kombinált támadások, mint amilyeneket a GCMAN vagy a Carbanak csoport elkövet, speciális informatikai ismereteket igényel. Az idei Biztonsági Elemzés Csúcstalálkozó során a Kaspersky Lab szakemberei képzést tartanak specialistáknak, hogy segítsenek a kifinomult célzott támadások észlelésében. A „Célzott Támadások vadászata Yara-szabályokkal” kurzusra az alábbi linken lehet jelentkezni. A „Kártékony-program semlegesítő mérnöki kurzus”-ra az alábbi linken lehet jelentkezni.

További Adatvédelem

Hirdetés

Népszerű

Hirdetés

Technokrata a Facebookon

Hirdetés

IoT-Magazin.hu

Hirdetés

Kütyük

Smart home

Így képzelik el a magyarok az álomotthonukat

2024. március 20. szerda

Office

Foglalj helyet, hogy helyet foglalhass!

2024. március 13. szerda

Smart home

Okoskészülék vagy hagyományos háztartási gép?

2024. február 28. szerda
owlet care babafigyelő

Smart home

OWLET CARE a magyarországi piacon!

2024. február 26. hétfő
Hirdetés

Dotkom

Műszaki-Magazin.hu

Hirdetés