`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Максим Голубев

BKDR_RARSTONE.A – продолжение следует...

+11
голос

На прошлой неделе сотрудниками кампании Trend Micro был обнаружен троян удаленного доступа BKDR_RARSTONE.A, загружающийся непосредственно в оперативную память. Данный RAT-троян считается модификацией трояна PlugX, который использовался в некоторых громких APT-кампаниях в прошлом году.

Сотрудниками кампании был получен его образец через электронную почту, который содержал специально созданный .doc файл, детектирующийся как TROJ_ARTIEF.NTZ.

Этот троян создает и исполняет BKDR_RARSTONE.A, который в свою очередь подгружает следующие файлы:

• % System% \ ymsgr_tray.exe — копия BKDR_RARSTONE.A

• % Application Data% \ profile.dat — бинарник, содержащий вредоносные процедуры BKDR_RARSTONE.A выполняет копию ymsgr_tray.exe. Этот бэкдор открывает скрытый процесс Internet Explorer, в котором он вводит код, содержащийся в profile.dat.

Как и PlugX, исполняемый код расшифровывает сам себя в оперативной памяти. Как только заканчивается расшифровка, начинается загрузка .dll-файла C&C-серверов, которая снова загружает его в память как скрытый процесс в Internet Explorer. Загруженный файл не сбрасывается в систему, а вместо этого напрямую загружается в оперативную память, что делает неэффективным систему обнаружения файлов в антивирусах. Подобно бэкдорам, BKDR_RARSTONE.A подключается к определенным сайтам и может выполнять определенные процедуры, включающие в себя перечисление файлов и каталогов, загрузку, выполнение и выгрузку файлов, самообновление и свое конфигурирование.

Стоит отметить, что среди обычных бэкдоров он отличается способностью получить контроль над свойством «Удаление записей реестра». Делается это, чтобы заполучить информацию об установленных приложениях в пораженной системе, а также знать, как удалить определенные приложения. Это может быть удобно при тихой деинсталляции приложений, которые могут конфликтовать с бэкдором, например, защите от вредоносного программного обеспечения или подобными.

Еще одна интересная особенность этого бэкдора — это способ связи. Он использует, в частности, SSL-соединение. Использование SSL имеет двойное преимущество: оно гарантирует, что связь между C&C-сервером и зараженной системой будет в зашифрованном виде, в то же время оно вписывается в нормальный трафик. Директор Центра исследования киберугроз компании Trend Micro Мартин Реслер (Martin Roesler) заметил, что появление RAT-трояна BKDR_RARSTONE, показывает, что данная технология атак актуальна в хакерской среде и следует ожидать новых изощренных приемов для поражения целевых систем.

BKDR_RARSTONE.A – продолжение следует...

+11
голос

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT