REKOMENDUJ | DO ULUBIONYCH | RSS | NEWSLETTER Nick: Hasło: ZAREJESTRUJ  
 
Autor: Kan2017-08-11 07:06 | PDA & Navi | trojan | analiza | g-data
Kan
Wykop Sledzik Google drukuj Poleć 0

ZeuS Panda - co stanowi o wyjątkowości złośliwej aplikacji

ZeuS i jego odmiana znana jako „Panda” już od sześciu lat stanowią podstawowe zagrożenie dla bankowości internetowej. Po przyjrzeniu się zagrożeniu z bliska, z całą pewnością można stwierdzić to, że Panda nie jest pospolitym koniem trojańskim. Analitykom G DATA Advanced Analytics udało się podpatrzeć, na czym polega działanie tego popularny konia trojańskiego atakującego systemy bankowe.


W jaki sposób ofiary dowiadują się o ataku?

Zła wiadomość: gdy niechronione urządzenie zostanie zainfekowane, niemal niemożliwe jest wykrycie infekcji wyłącznie na podstawie tego, co widać na monitorze. Wyświetlane treści są w bardzo sprytny sposób manipulowane i doskonale wtapiają się w wygląd strony konkretnego banku lub serwisu z płatnościami. Użytkownicy proszeni są o przekazanie pieniędzy na cel charytatywny lub nakłaniani do zwrotu przelewu, jaki omyłkowo otrzymali. Czasem dochodzi nawet do grożenia postępowaniem karnym w związku z praniem brudnych pieniędzy przez „Niemiecką Policję Finansową” (taka instytucja nie funkcjonuje w Niemczech, a przynajmniej nie pod tą nazwą). ZeuS Panda oprócz tego, że przechwytuje dane wprowadzane na stronie internetowej i modyfikuje to, co użytkownik widzi na swoim monitorze, zmienia również niektóre ustawienia zabezpieczeń i ostrzeżenia przeglądarki, które w przeciwnym razie mogłyby doprowadzić do jego wykrycia.

Jest jednak i dobra wiadomość: istnieją rozwiązania technologiczne, dzięki którym możliwe jest wykrycie ataku, nawet jeśli sygnatura złośliwego oprogramowania nie jest dostępna.

Co stanowi o wyjątkowości Pandy?

Istnieje wiele złośliwych aplikacji mających na celu uniemożliwienie wykrycia infekcji i jej przeanalizowania, jednak ZeuS Panda idzie w tej ostatniej kwestii o krok dalej: Szuka informacji potwierdzających, że działa w maszynie wirtualnej – między innymi VMWare, OpenBox, Wine bądź inne środowiska typu HyperV. Wielu analityków uruchamia złośliwe oprogramowanie na próbę w środowiskach wirtualnych, jednak takie podejście to pierwszy krok to udaremnienia przeprowadzenia jakiejkolwiek analizy - mówi Robert Dziemianko z G DATA. Ponadto wiele narzędzi wykorzystywanych przez analityków jest także sprawdzanych pod kątem debuggera ProcMon, Regshot, Sandboxie, Wireshark, IDA i SoftICE. W przypadku wykrycia obecności któregokolwiek z tych programów złośliwe oprogramowanie nie zadziała - dodaje ekspert z G DATA. Inne złośliwe programy opierają się w większości na podstawowym wykrywaniu obecności rozwiązań typu VMWare i OpenBox; funkcje te są często po prostu kopiowane i wklejane od siebie nawzajem. Ponadto, do stworzenia złośliwego pliku wykorzystuje się różne szablony, które wymagają ręcznej selekcji.

Istnieją również inne przykłady złośliwego oprogramowania, które opierają się na podobnych technikach, ale w wielu przypadkach ich wdrożenie nie działa tak, jak powinno lub złośliwy program zawiera błędy uniemożliwiające jego funkcjonowanie. Złośliwy program przedziera się przez kolejne warstwy zabezpieczeń, a nagle okazuje się, że adres URL, z którym program miał się skontaktować, zawierał literówkę; cała akcja jest więc już „spalona”.

Jeśli chodzi o ZeuS Panda, sprawy mają się inaczej: program zbiera dane do momentu, gdy otrzyma komendę, by przestać. Jeśli serwer Command and Control (C2) nie zostanie usunięty, zebrane dane gromadzą się w systemie do momentu, aż będą mogły zostać przeniesione do innego serwera C2.

Niebezpieczna transformacja

Czynnikiem, który decyduje o wyjątkowości Pandy, poza samym mechanizmem oszustwa oraz precyzją jego wykonania, jest uniwersalność tego złośliwego oprogramowania. ZeuS Panda jest w pierwszej kolejności koniem trojańskim atakującym bankowość, może również wykradać z systemu dane innego typu. Jednym z przykładów jest zawartość schowka (np. dane skopiowane z pliku, które mają być wklejone gdzie indziej – menadżer haseł często wykorzystuje schowek przy przenoszeniu danych z menadżera do aplikacji/strony), wykonywanie zrzutów ekranu oraz tworzenie pełnej luki typu backdoor w systemie z wykorzystaniem VNC. Ostatnie działanie można porównać do osoby siedzącej za użytkownikiem i zaglądającej mu przez ramię przez 24 godziny na dobę.

Wybór funkcji, która ma zostać aktywowana, zależy od konfiguracji złośliwego oprogramowania, pobieranej automatycznie w regularnych odstępach czasu. W ten sposób ZeuS Panda może przeobrazić się z konia trojańskiego atakującego systemy bankowości elektronicznej w oprogramowanie szpiegowskie oraz sterujące komputerem na odległość w ciągu zaledwie kilku minut, w zależności wyłącznie od decyzji atakującego.

Pojawiły się jasne namiary na pochodzenie złośliwego oprogramowania ZeuS Panda: nie zadziała ono, jeśli wykryje, że system pochodzi z Rosji, Ukrainy, Białorusi lub Kazachstanu.

Dokładna analiza dostępna jest pod poniższym linkiem: https://cyberwtf.files.wordpress.com/2017/07/panda-whitepaper.pdf

źródło: G DATA

Kan


Oceń ten artykuł w skali od 1 do 5.
Tagi: | trojan | analiza | g-data Wykop Sledzik Google drukuj Poleć 0
Komentarze: 0 | Napisz komentarz | Zobacz wszystkie komentarze na forum >>


Napisz komentarz
Nick
  


Pogrubienie    Kursywa    Podkreślenie    Adres email    Cytat    Link    Obrazek    Film Youtube - wklej pełny link   

Wpisz kod z obrazka. Zaloguj się, żeby dodawać komentarze bez ograniczeń.
Wysłać powiadomienie email przy nowych odpowiedziach?






Ankieta
Czy w Polsce mamy roaming w UE według zasady RLAH (jak w kraju)?

Tak
Nie
Inne
A o co chodzi


WynikiAnkiety

Głosów 773

Newsy
Artykuły
Video
Rankingi
Pliki / Download
Redakcja
Archiwum
RSS
Regulamin
Kontakt
Telefony Taryfy
Rozrywka Systemy Rynek Tablety Inne
// dodatkowy kod na dole strony (intext)