REKOMENDUJ | DO ULUBIONYCH | RSS | NEWSLETTER Nick: Hasło: ZAREJESTRUJ  
 
Autor: Kan2017-02-22 09:42 | PDA & Navi | eset | bank | alert | raport | ransomware
Kan
Wykop Sledzik Google drukuj Poleć 2

ESET - analiza ostatniego ataku na polskie banki

Niedawny atak na polskie banki został okrzyknięty przez media i ekspertów jako najpoważniejszy atak na infrastrukturę krytyczną i sektor bankowy w Polsce. Analitycy zagrożeń z firmy ESET, która na co dzień zajmuje się walką z wirusami komputerowymi i mobilnymi, zbadali atak od strony technicznej. Z przeprowadzonej analizy wynika m.in., że zagrożenie wykorzystane do przeprowadzenia ataku powstało najprawdopodobniej na krótko przed samym uderzeniem w polskie banki. Intryguje fakt, że ekspertom udało się zidentyfikować podobne zagrożenie do tego wykorzystanego w ataku na polski sektor bankowy. To inne zagrożenie miało reagować na polecenia atakującego wydawane w… języku rosyjskim.

Jak mówi Kamil Sadkowski, analityk zagrożeń z firmy ESET, opisywany atak, w którym odwiedzający stronę Komisji Nadzoru Finansowego, mógł zostać zainfekowany złośliwym oprogramowaniem, zaliczamy do ataków kategorii „watering hole attack”. W atakach tego typu przejmuje się kontrolę nad stronami internetowymi, odwiedzanymi przez pewną wybraną grupę osób lub pewne wybrane instytucje, które łączy podobny obszar działalności. Następnie wprowadza się, niezauważalnie dla samego użytkownika, takie modyfikacje w tych stronach WWW, by mogły infekować komputery kolejnych odwiedzających złośliwym oprogramowaniem.

Modyfikacja wprowadzona na stronie Komisji Nadzoru Finansowego miała za zadanie przekierować przeglądarkę odwiedzającego do złośliwej strony, na której znajdował się „exploit”, a więc specjalnie przygotowany kod usiłujący wykorzystać lukę (podatność) w oprogramowaniu zainstalowanym na komputerze odwiedzającego. Pomyślne wykonanie kodu tego exploita skutkowało instalacją na komputerze odwiedzającego złośliwego oprogramowania, składającego się z trzech komponentów:

  • Tzw. „droppera”, który posłużył do uruchomienia kolejnych dwóch komponentów, wykorzystanych w ataku, z których jeden zmieniał konfigurację systemu operacyjnego na komputerze ofiary (osoby odwiedzającej stronę KNF), tak by złośliwy program był uruchamiany podczas startu systemu.
  • Tzw. „loadera” - dropper odszyfrowuje loadera i go uruchamia, natomiast loader odpowiada za załadowanie ostatniego komponentu, tzw. „modułu”.
  • Tzw. „modułu” – to w nim zawarte zostały kluczowe funkcjonalności, przede wszystkim możliwość szyfrowanej komunikacji ze zdalnym serwerem, za pomocą którego atakujący wydaje zagrożeniu polecenia.

Podczas badania analitycy ESET natrafili na jeszcze jedną próbkę należącą do tej samej rodziny złośliwego oprogramowania, wykorzystanego w ataku na polski sektor bankowy. Uwagę ekspertów zwróciły polecenia zaszyte w kodzie programu, będące odpowiednikami rosyjskich słów po transliteracji z cyrylicy do łaciny. Warto podkreślić, że użyty język niekoniecznie świadczy o narodowości twórcy. Być może sam twórca starał się skierować uwagę śledczych na fałszywy trop – może o tym świadczyć długość poleceń, jakie zaprogramował w zagrożeniu twórca. Obsługa zagrożenia poprzez przesyłanie do niego długich komend wydaje się ekspertom niepraktyczna, łatwiej byłoby posłużyć się np. skrótami.

Analiza wybranych fragmentów kodów zagrożenia pozwala wyciągnąć wniosek, że wykorzystane w ataku zagrożenie nie istniało na długo przed ostatnimi atakami na polskie banki. Mogło zatem powstać z myślą o konkretnym działaniu – ataku na konkretne instytucje.

Szczegółową analizę ataku na polskie banki przeprowadzoną przez ekspertów ESET można przeczytać na stronie: http://www.welivesecurity.com/2017/02/16/demystifying-targeted-malware-used-polish-banks/.

źródło: ESET

Kan


Oceń ten artykuł w skali od 1 do 5.
Tagi: | eset | bank | alert | raport | ransomware Wykop Sledzik Google drukuj Poleć 2
Komentarze: 2 | Napisz komentarz | Zobacz wszystkie komentarze na forum >>

Anonimjebac upa
Niezarejestrowany




Zgłoś naruszenie
Wysłano: 2017.02.22 11:09 Odpowiedz
tusk zrobił kupe wina ruskich, wrogiem Polski jest i będzie ukraina a nie Rosja! Zdradzieckie media kreują wrogą Rosję odwracać oczy od prawdy..
AnonimL
Niezarejestrowany




Zgłoś naruszenie
Wysłano: 2017.02.22 12:53
Spadaj ruski płatny trollu.

Napisz komentarz
Nick
  


Pogrubienie    Kursywa    Podkreślenie    Adres email    Cytat    Link    Obrazek    Film Youtube - wklej pełny link   

Wpisz kod z obrazka. Zaloguj się, żeby dodawać komentarze bez ograniczeń.
Wysłać powiadomienie email przy nowych odpowiedziach?






Ankieta
Czy w Polsce mamy roaming w UE według zasady RLAH (jak w kraju)?

Tak
Nie
Inne
A o co chodzi


WynikiAnkiety

Głosów 793

Newsy
Artykuły
Video
Rankingi
Pliki / Download
Redakcja
Archiwum
RSS
Regulamin
Kontakt
Telefony Taryfy
Rozrywka Systemy Rynek Tablety Inne
// dodatkowy kod na dole strony (intext)