Kaspersky Lab - Vislabākā aizsardzība, lieliskas cenas!
Sākumlapa » Apdraudējumi » APT Slingshot: aparatūras Trojas zirga jājēji

APT Slingshot: aparatūras Trojas zirga jājēji

Šogad saietā Kaspersky Security Analyst Summit (SAS) viens no interesantākajiem referātiem bija par sevišķi sarežģīto kiberspiegošanas kampaņu (APT) Slingshot.

Uzbrukuma vektors

Vispirms noskaidrosim inficēšanas līdzekļus. Sākotnējais uzbrukuma vektors ir unikāls, jo, saskaņā ar Kaspersky Lab pētījumu, daudzi uzbrukumi veikti, izmantojot inficētus MikroTik maršrutētājus. Darbojoties, šo maršrutētāju vadības programma Winbox Loader (utilītprogramma maršrutētāju konfigurēšanai) ielādē un aktivizē dažādas DLL datnes no maršrutētāja failu sistēmas. Hakeriem bija izdevies izmantot šīs ierīces, papildinot normālu DLL paku ar kaitīgu DLL datni, kas tika ielādēta upura datorā. Savukārt kaitīgā DLL lejupielādēja dažādas citas kaitīgas datnes.

 

 

Jāpiebilst, ka Kaspersky Lab par to paziņoja maršrutētāju ražotājam, un MikroTik tagad ir atrisinājis šo problēmu. Taču eksperti uzskata, ka MikroTik nav vienīgais zīmols, kuru izmanto Slingshot autori — apdraudētas var būt arī citas ierīces.

Vēl viens interesants Slingshot aspekts ir paņēmiens, ar kuru panāk ļaunprogrammatūras palaišanu kodola režīmā. Maksimāli atjauninātā operētājsistēmā tas gandrīz nav iespējams, taču ļaunprogrammatūra meklē datorus ar parakstītiem ievainojamiem draiveriem, kurus izmanto, lai izpildītu savu kodu.

Kaitīgi instrumenti

Starp kaitīgajām programmām, kuras izmantoja ļaunprogrammatūra Slingshot, bija divi īsti šedevri: kodola režīma modulis Cahnadr un lietotāja režīma modulis GollumApp.

Darbojoties kodola režīmā, Cahnadr nodrošina uzbrucējiem neierobežotu rīcības brīvību inficētajā datorā. Turklāt atšķirībā no gandrīz visām pārējām kodola režīma kaitīgajām programmām, tas var izpildīt kodu, neizraisot „zilo ekrānu”. Otrais modulis, GollumApp, ir vēl sarežģītāks. Tam ir gandrīz 1500 lietotāja koda funkciju.

Šie moduļi ļauj programmai Slingshot vākt ekrānuzņēmumus, klaviatūras datus, tīkla datus, paroles, datus par citām darbvirsmas aktivitātēm, par starpliktuvi un vēl daudz ko citu. Un tas viss bez „nulles dienu” ievainojamību izmantošanas. Vismaz Kaspersky Lab ekspertiem nav izdevies konstatēt, ka Slingshot tās izmantotu.

Līdzekļi pret detektēšanu

Taču patiešām bīstamas ir Slingshot daudzās iespējas izvairīties no detektēšanas. Programma var pat izslēgt savus komponentus, ja konstatē, ka datorā notiek „kaitēkļu” meklēšana. Turklāt Slingshot ierīko pati savu šifrētu datņu sistēmu cietā diska neaizņemtajā daļā. Par Slingshot vairāk lasiet vietnē Securelist.

Kā tikt galā ar Slingshot līdzīgām APT

Ja lietojat MikroTik maršrutētāju un WinBox vadības programmatūru, tad lejupielādējiet šīs programmatūras jaunāko versiju un pārliecinieties, ka arī maršrutētājā darbojas tā operētājsistēmas jaunākā versija. Taču atjauninājumi var jūs paglābt tikai no viena uzbrukuma vektora, nevis no pašas APT.

Lai jūs varētu pasargāt savu biznesu no sevišķi sarežģītiem mērķtiecīgajiem uzbrukumiem, nepieciešama stratēģiska pieeja. Lieliem uzņēmumiem Kaspersky Lab piedāvā „Draudu novēršanas un aizsardzības” platformu. To veido Kaspersky Anti Targeted Attack platforma, jaunais risinājums Kaspersky Endpoint Detection and Response, kā arī ekspertu pakalpojumi.

Kaspersky Anti Targeted Attack ļauj konstatēt anomālijas tīkla datplūsmā, izolēt aizdomīgus procesus un redzēt notikumu korelācijas. Kaspersky Endpoint Detection and Response apkopo un vizualizē savāktos datus. Kompānijas ekspertu pakalpojumi ļauj jebkurā laikā saņemt palīdzību sevišķi sarežģītu incidentu gadījumā, apmācīt klienta monitorēšanas centra personālu un uzlabot uzņēmuma darbinieku kopējo zināšanu līmeni. Sīkākas ziņas par šo risinājumu var iegūt šeit.

Birkas:
Iepriekšējais raksts
Nākošais raksts

1 Komentāri

  1. Visvairāk uzlauztie mikrotiki ir tie kuriem advancētais lūzeris neuzliek paroli jo ierauga Firewall drop-all filtru, taču lieto pppoe internetu. A tas filtra ta attiecas uz ether1, nevis pppoe1!
    Liekos packages ar neprot izslēgt, brīnās ka routeris lēns un tad saklausās stulbajos forumos ka jāizslēdz firewall rules.
    Mikrotiks nekādus DLL neielādē. Tur kaukāds wget vai curl scripts ielogojas, uztaisa jūzeri “router” ar pilnām tiesībām, pārtaisa admin par daļēju adminu, uztaisa kaukādu PPTP jūzeri un iemet kaukādus 2 skriptus shedulerī. Tam jūzerim parole ir atkosta – adminpwla.
    Mikrotiks šo paroli dzēš no sava foruma un stāsta cilvēkiem pekstiņus. Vienam kadram amūrikā bij uzlauzta ap 600 Mikrotik iekārtas. Oficiālā Mikrotik atbilde – nu teu droši vien nebija uzliktas paroles. Kadrs atbild -” ko jūs diršat? Es apkalpoju 600 iekārtas kurām ir sava parole kas nekur citur netiek izmantota.”
    Ta ka izskatās ka kaukāds exploits varētu būt tikai… nu, tiksi tu tai routerī, a kas teu priekš viņa ir nokompilējis gatavus DDos softus?
    Ja es gribētu kādu nograut es saliktu piegatavotu OpenWRT uz kaudzes visādiem RT-N14 un AC87 un kontrolējošā mājaslapā ieliktu 1 IP adresi. Viss. Tagad tak visiem ir 100 un 200Mbps – nofloodot kādu nabagu ir 20 botu jautājums.

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

62 + = 72

Kaspersky Lab - Vislabākā aizsardzība, lieliskas cenas!
Uz augšu