eGospodarka.pl › Wiadomości › Technologie › Internet › Złośliwe programy: bootkit na celowniku

Złośliwe programy: bootkit na celowniku

2009-01-27 13:52

Przeczytaj także: Panda: nadchodzi szkodliwy Icepack

fot. mat. prasowe

Lista atakowanych aplikacji

Większość aplikacji atakowanych przez moduł do kradzieży poufnych danych tworzonych jest w celu administracji witryny internetowej. Jest to krytyczne dla szkodliwych użytkowników, ponieważ to właśnie na tych stronach może znajdować się centrum kontroli lub exploity. Jednak dla cyberprzestępców największą wartość mają konta bankowe.

Przechwytując wszystkie połączenia sieciowe z maszyny ofiary, DLL skanuje ruch w celu znalezienia kontaktu ze stronami bankowymi. Wszystkie dane wprowadzone przez użytkownika na takich stronach zostaną wysłane do serwera szkodliwego użytkownika.

Moduł szpiegujący może uruchomić atak man-in-the-middle, wykorzystując bootkita jako platformę posiadającą pełny dostęp do zasobów systemu operacyjnego. Pozwala to modułowi szpiegującemu przechwycić informacje poufne wprowadzone za pośrednictwem przeglądarki.

Moduł ten posiada prawie wszystkie funkcje programu szpiegującego, od banalnego przechwytywania danych wprowadzanych za pośrednictwem klawiatury do subdomen chronionych połączeń SSL. Podczas łączenia się ze stroną https program szpiegujący może otworzyć dodatkowe okna w przeglądarce w celu autoryzacji. Do takiego okna użytkownik może przez pomyłkę wprowadzić dane dotyczące swojego konta, ponieważ okno to wydaje się być częścią strony banku.

Program szpiegujący może przekierować zapytania użytkownika na strony phishingowe.

Wszystkie przechwycone dane są szyfrowane i wysyłane do wyspecjalizowanego serwera.

Przykład lokalizacji serwerów, które obsługują połączenia SSL i są wykorzystywane do przekierowywani

Kliknij, aby powiekszyć

fot. mat. prasowe

Przykład lokalizacji serwerów, które obsługują połączenia SSL i są wykorzystywane do przekierowywani

Przykład lokalizacji serwerów, które obsługują połączenia SSL i są wykorzystywane do przekierowywania użytkowników na strony phishingowe (od lewej strony: nazwa domeny; adres IP serwera; podsieć, w której jest zlokalizowany serwer; autonomiczny system)

Kliknij, aby przejść do galerii (8)

Zainfekowana sieć

Jak wygląda interakcja bootkita z serwerami

Kliknij, aby powiekszyć

fot. mat. prasowe

Jak wygląda interakcja bootkita z serwerami

Kliknij, aby przejść do galerii (8)

Rozpatrując ogólny schemat ataku, Kaspersky Lab przypomina, że wszystkie komponenty sieci bootkita są w nieustannym ruchu. Kontrolując serwery domen, szkodliwi użytkownicy mogą szybko i łatwo zmienić lokalizację exploitów, panel administracyjny centrum kontroli, miejsce, w którym ładowane są moduły, oraz przechwytywanie poufnych danych. To sprawia, że system jest bardzo stabilny, ponieważ rekonfiguracji komponentów sieci można dokonać bez wprowadzania żadnych modyfikacji do konfiguracji bootkita lub jego modułów.

Skala infekcji

Z raportu wynika, że zarówno pierwszy bootkit, który pojawił się pod koniec zeszłego roku, jak i Rustock rozprzestrzeniały się za pośrednictwem zasobów grupy IframeBiz. Jednak, bootkit pojawił się w zupełnie inny sposób: scenariusz był znacznie bardziej techniczny i wiele należało tu zawdzięczać epidemii spowodowanej przez Rustocka i Sinowala.

Przeczytaj także: