Roby4kill Posted February 28, 2013 Report Posted February 28, 2013 (edited) Exper?ii Kaspersky Lab au publicat un nou raport de cercetare ce analizeaz? o serie de incidente de securitate în cadrul c?rora au fost utilizate exploit-urile PDF din Adobe Reader (CVE-2013-6040) descoperite recent ?i un nou program malware, foarte specializat, numit MiniDuke, poztivit unui comunicat. MiniDuke a fost folosit s?pt?mâna trecut? pentru a ataca mai multe organiza?ii guvernamentale ?i institu?ii din întreaga lume. Mai multe ?inte importante au fost deja compromise de atacurile MiniDuke, inclusiv institu?ii guvernamentale, din Ucraina, Belgia, Portugalia, România, Republica Ceh? ?i Irlanda.Potrivit analizei Kaspersky Lab, mai multe ?inte importante au fost deja compromise de atacurile MiniDuke, inclusiv institu?ii guvernamentale, din Ucraina, Belgia, Portugalia, România, Republica Ceh? ?i Irlanda. În plus, un institut de cercetare, dou? think tank-uri ?i un furnizor din domeniul medical din Statele Unite, precum ?i un institut de cercetare foarte cunoscut din Ungaria au fost, de asemenea, compromise.„Acesta este un atac cibernetic foarte neobi?nuit,” comenteaz? Eugene Kaspersky, fondatorul ?i CEO al Kaspersky Lab. „Îmi amintesc acest tip de programare malware de la sfâr?itul anilor 1990 ?i începutul anilor 2000. M? întreb dac? nu cumva ace?ti programatori de malware, care au fost inactivi timp de mai mult de un deceniu, s-au trezit brusc ?i s-au al?turat unui grup complex de infractori activi în lumea cibernetic?. Ace?ti programatori de malware de elit?, de mod? veche au fost foarte eficien?i în trecut, creând viru?i foarte complec?i, iar acum î?i folosesc aceste abilit??i în combina?ie cu noile exploit-uri avansate, capabile s? evite protec?ia sandbox, pentru a ataca organiza?ii guvernamentale sau institu?ii de cercetare din diferite ??ri”, explic? Eugene Kaspersky.„Backdoor-ul foarte specializat al MiniDuke a fost scris în Assembler ?i este de dimensiuni foarte mici, având doar 20kb. Al?turarea dintre programatorii de malware de mod? veche ?i experimenta?i care folosesc exploit-uri descoperite recent ?i ingineria social? inteligent?, din prezent, capabil? s? compromit? ?inte importante este foarte periculoas?”, avertizeaz? Eugene Kaspersky.Principalele descoperiri ale cercet?rii Kaspersky Lab:Atacatorii MiniDuke sunt activi în prezent ?i au creat fi?iere malware chiar ?i pe 20 februarie 2013. Pentru a compromite victimele, atacatorii au utilizat tehnici de inginerie social? foarte avansate, care implic? trimiterea de documente PDF mali?ioase c?tre ?intele vizate. Documentele trimise erau create s? par? foarte credibile pentru destinatari, având un con?inut bine construit, care s? imite prezent?rile despre un seminar pe tema drepturilor omului (ASEM), strategia de politic? extern? a Ucrainei ?i planurile NATO pentru ??rile membre. Acestor fi?iere PDF mali?ioase le-au fost ata?ate exploit-uri care s? atace versiunile Adobe Reader 9, 10 ?i 11, evitând protec?ia sandbox. Pentru a crea aceste exploit-uri, s-a folosit un set de instrumente care pare a fi acela?i cu cel utilizat în atacul care a fost semnalizat recent de FireEye. Îns?, exploit-urile folosite în atacurile MiniDuke au avut alte scopuri ?i aveau propriul malware specializat.Odat? ce sistemul era exploatat, un program de desc?rcare de doar 20kb era instalat pe discul victimei. Programul de desc?rcare era unic pentru fiecare sistem ?i con?inea un backdoor specializat, scris în Assembler. Fiind înc?rcat de îndat? ce sistemul era pornit, programul de desc?rcare utiliza un set de calcule matematice pentru a stabili amprenta unic? a computerului ?i folosea aceste date pentru a cripta într-un mod unic ac?iunile de comunicare ulterioare. De asemenea, programul era construit s? evite analiza de c?tre un set codificat de instrumente în anumite medii, cum ar fi VMware. Dac? întâlnea unul dintre ace?ti indicatori, programul r?mânea inactiv în mediul respectiv, în loc s? treac? la stadiul urm?tor ?i s? î?i expun? mai mult modalitatea de func?ionare printr-o decriptare suplimentar?. Acest lucru indic? faptul c? autorii malware-ului ?tiau cu exactitate ce fac speciali?tii în antiviru?i ?i în securitate IT pentru a analiza ?i a identifica un malware.Dac? sistemul ?intei corespundea cerin?elor predefinite, malware-ul se folosea de Twitter, f?r? ?tirea utilizatorului, ?i începea s? caute post?ri specifice de pe conturi create în prealabil. Aceste conturi erau create de operatorii de comand? ?i control ai MiniDuke, iar tweet-urile con?ineau etichete specifice care reprezentau URL-urile criptate pentru backdoor-uri. Aceste URL-uri ofereau acces c?tre centrele de comand? ?i de control, care furnizau în sistem poten?iale comenzi ?i transferuri criptate de backdoor-uri suplimentare, prin intermediul fi?ierelor GIF.Potrivit analizei, creatorii MiniDuke par s? furnizeze un sistem de backup dinamic care, de asemenea, poate trece neobservat. Dac? Twitter nu func?ioneaz? sau dac? aceste conturi sunt închise, malware-ul poate folosi Google Search pentru a g?si seria criptat? pentru urm?torul centru de control ?i de comand?. Acest model este flexibil ?i permite operatorilor s? schimbe constant felul în care backdoor-urile trimit înapoi comenzile urm?toare sau codul de malware, în func?ie de nevoie.Odat? ce sistemul infectat localizeaz? centrul de control ?i de comand?, acesta prime?te backdoor-urile criptate camuflate în fi?iere GIF ?i deghizate în fotografii care apar în computerul victimei. De îndat? ce sunt desc?rcate în computer, acestea pot desc?rca un backdoor de dimensiuni mai mari, care desf??oar? câteva ac?iuni de baz?, precum copierea, mutarea sau înl?turarea fi?ierelor, crearea de fi?iere, blocarea unor ac?iuni ?i, bineîn?eles, desc?rcarea ?i executarea unui nou malware.Backdoor-ul malware este conectat la dou? servere, unul în Panama, altul în Turcia, pentru a primi instruc?iuni de la atacatori. Sursa: iRealitateaEDIT: Cer scuze, n-am vazut ca a mai fost postat ceva asemanator la Tutorials de Nytro.Da-ti remove daca trebuie. Edited February 28, 2013 by Roby4kill Quote