RSS-каналы
Уровень опасности: 1
Главная→Блог→Новости→21 июн 2010→BlackEnergy 2 — и швец, и жнец…
BlackEnergy 2 — и швец, и жнец…
Блогер
опубликовано 21 июн 2010, 13:03 MSK
Сюжеты: DoS-атаки, Java, Системы авторизации, Описание вредоносных программ
Эксперт из SecureWorks Джо Стюарт (Joe Stewart) продолжает регистрировать атаки обновленного троянца BlackEnergy , который научился воровать пользовательские данные в процессе аутентификации в системе онлайн-банкинга.
По утверждению Стюарта, BlackEnergy 2, как он его называет, создан на базе троянца BlackEnergy (Backdoor.Win32.Kbot), который применялся злоумышленниками для проведения DDoS-атак. Однако первоначальный код был основательно переиначен; новая версия имеет модульную архитектуру, использует шифрование и современные руткит-технологии. Базовый комплект плагинов, загружаемых ботом, включает три модуля, совокупно обеспечивающих ddos-функционал, которым обладал еще первый вариант BlackEnergy. В дикой природе замечены также добавочный модуль для рассылки спама — перекомпилированная версия спамбота Grum, а также пара плагинов для облегчения доступа к банковским счетам. Однако любой злоумышленник, владеющий навыками работы с API, может расширить функционал BlackEnergy 2 по своему усмотрению.
Один из плагинов, предназначенных для кражи финансовой информации, ориентирован на обход Java-приложения, используемого многими банками для аутентификации клиентов. Внедряясь в процессы режима пользователя на зараженной машине, он ворует приватный ключ, считываемый сертифицированным Java-апплетом со съемного носителя, и контрольную фразу, вводимую пользователем в диалоговое окно. Похищенные данные, включая URL банка, отсылаются на управляющий сервер ботнета.
Второй плагин из этой упряжки выполняет команду kill — переписывает все разделы жестких дисков на зараженном компьютере, пытается удалить файлы ntldr и boot.ini, а затем завершает работу Windows. По-видимому, данный функционал используется для того, чтобы законный владелец счета не смог отследить движение денежных средств и уведомить банк о незаконных транзакциях. С той же целью BlackEnergy 2 проводит DDoS-атаку на соответствующий банк после того, как взломал его систему аутентификации.
По словам Стюарта, с конца прошлого года он зафиксировал более десятка атак на финансовые организации с применением BlackEnergy 2. В качестве мишеней зловред выбирает, в основном, банки России и Украины, так как в них часто используется вышеописанная система аутентификации. Насколько известно, новый троянец устанавливается на машины пользователей участниками партнерских программ «pay-per-install», хотя нельзя исключить возможность его распространения через вредоносные письма или drive-by загрузки.
|
21 июн 2010, 15:34
Спасибо за детальное описание функционала :-) Вроде полезная программа. Сколько стоит? |
|
0 |
Re:
Автор статьи хотел обратить внимание читателей на новый функционал, который пока в диком виде нешироко представлен.
Создатель исходника BlackEnergy энергично открещивается от новой версии - http://blog.fireeye.com/research/2010/03/black-energy-crypto.html.
BlackEnergy вначале продавался по 40 баксов за штуку, но от пиратства никто не застрахован, даже вирусописатели )) Видимо, нашлись добрые люди, приспособили доступный продукт для своих нужд. А теперь, благодаря модульной архитектуре, каждый сам себе режиссер, в этом-то и беда (
21 июн 2010, 20:13
Ещё масла в огонь добавлю. "Современные рутки-технологии"...Вы нам на главный вопрос ответьте - Касперский справляется с новыми версиями. или нет?) |
|
-2 |
|
1 |
Re: Re:
дайте, плиз, сампл. И желательно лицензию на виртуальную машину.
и скажите, как правильно заражать. И как проверить, что все вылечено?
Это разве не работа Касперского??
|
0 |
Re: Re: Re:
Не уверен, что работа Касперского - постоянно отвечать на вопрос: "А вы это лечите?" :) Без обид.
|
1 |
Re: Re: Re: Re:
да, Вячеслав, согласен с Вами, некоторые работники всяческих служб тоже не любят отвечать на вопросы, а шахтеры спускаться за углем, а водители ездить на автомобилях ... и это каждый день
Если уж своя работа не нравиться некоторым специалистам, то ее можно, думаю сменить, верно ведь?
IMHO, ЛК одна из компаний предоставляющая наиболее адекватную и понятную информацию интернет сообществу. Мне это очень импонирует в ЛК и ... так держать!
С уважением,
К
исправлено: Константин, 29 июн 2010, 18:07
|
1 |
Re: Re: Re: Re:
Вячеслав, существует некоторые случаи, когда вопрос "а вы это лечите" вполне правомерен и интересен. В частности, заражение TDL3 в отсутствие резервных копий поражённого драйвера, заражение файловыми вирусами системных файлов, функции которых экспортируются Антивирусом Касперского (ну как теоретический пример - kernel32.dll :) ) и т.д.
Народ желает информации - её нужно ему дать! Иначе зачем весь этот SecureList....
|
1 |
Re: Re: Re: Re: Re:
Поддерживаю. Я даже помню была статья, описывающая какую-то сложную заразу, в которой были подробно расписаны в районе 10 её действий и потом подробно расписано, что КИС является единственным софтом детектящим данного гада на всех его шагах деятельности от проникновения, попытки скрытия, до собственно, вредоносного действия.
В самом деле ребята, вы тут такой ужас расписали. Даже если я каким-то чудом откопаю его сэмпл, вы хоть скажите, справлюсь ли я с ним, или нет. А то моя ехидная физиономия может решить, что вам в этот раз гордиться нечем. Но это ведь не так?)
|
0 |
Re: Re: Re: Re: Re: Re:
Что касается Лаборатории Касперского, то наш продукт хорошо справляется с данным зловредом. У всех семплов BE2, с которыми сталкивался и работал я, не было шансов запуститься в системе с установленным нашим продуктом в силу специфики заражения - KIS'у сразу "видно", что программа опасная. Но судя по тому, что семплы содержат в себе и антиэмуляционные методы, и шифрование кода, то не просто же так они добавлены - ведь на кого-то они рассчитаны, скорее всего, ряд антивирусных решений бессильны против техник сокрытия BE2.
Ссылки по теме
Также в аналитике
В блоге
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей