`

СПЕЦІАЛЬНІ
ПАРТНЕРИ
ПРОЕКТУ

Чи використовує ваша компанія ChatGPT в роботі?

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

USB Thief работает с флэшки и не оставляет следов

+11
голос
USB Thief работает с флэшки и не оставляет следов

Антивирусная фирма ESET сообщила об обнаружении уникальной троянской программы, распространяющейся на USB-устройствах. Каждый экземпляр этой программы, получившей название USB Thief, базируется только на флэшке и не оставляет следов своего присутствия в системе, откуда крадёт данные.

В отличие от других вредоносных программ, которые используют файлы автозапуска или ссылки, побуждающие нажать на них, в новом троянце применен нестандартный подход. Он основан на популярной практике сохранять на флэшке портативные версии приложений, запускаемые прямо с неё. USB Thief внедряет себя в командную цепочку таких приложений, как Firefox, NotePad++ или TrueCrypt, в форме плагина или динамически подключаемой библиотеки (DDL). Каждый раз когда такое приложение запускается, вместе с ним, в фоновом режиме работает шпионское ПО.

Но, что реально ставит это ПО особняком от других, это его механизм самозащиты.

Троянец состоит из шести файлов: четырех исполняемых и двух, содержащих конфигурационную информацию. Для защиты их от копирования и обратной разработки используется два метода. Во-первых, некоторые индивидуальные файлы шифруются алгоритмом AES128, во-вторых, их имена генерируются из криптографических элементов. Ключ шифрования AES вычисляется на основании уникального идентификатора USB-устройства и определённых свойств флэш-накопителя, на котором находится программа. Из-за этого, троянец привязан только к своей флэшке и не может работать с других устройств.

Имя следующего файла в цепочке исполнения базируется на содержимом файла и дате его создания. Из упомянутых атрибутов вычисляются пять первых битов хэша SHA512 (контент файла, объединённый с восемью битами времени создания). По этой причине, файловые имена никогда не повторяются и различны для каждого экземпляра этого троянца. Копирование USB Thief в другое место изменит время создания файла и помешает воспроизведению его вредоносных действий, что затрудняет анализ данного ПО в контролируемых условиях.

Исследователям, имевшим в своём распоряжении только файлы вируса без самой флэшки, пришлось взламывать их методом грубой силы, генерируя идентификатор устройства и общие параметры USB-диска. И даже после успешной расшифровки им пришлось повозиться, устанавливая правильный порядок расположения исполняемых и конфигурационных файлов, поскольку в процессе копирования на образцах стирались метки времени создания.

Загрузчик троянца работает в три этапа. Сначала осуществляется внедрение в портативное приложение и, попутно, проверяется возможна ли запись на эту флэшку (где будет сохраняться похищенная информация).

Расположение загрузчика второго этапа определяется хэшем первого этапа и его конфигурационный файл находится с помощью его собственного хэша. Этот файл содержит зашифрованное имя родительского процесса — прием, блокирующий выполнение программы с другим родительским процессом, например, в отладчике. Кроме того, хэш конфигурационного файла применяется для вычисления имени загрузчика третьего этапа, на котором обеспечивается защита от антивирусного ПО. При обнаружении активных процессов «avpui.exe» (Kaspersky) или «AVKTray.exe» (G Data) работа троянца останавливается.

Далее, по уже привычной схеме, с использованием хэша, рассчитывается путь к собственно вредоносной нагрузке. Она обеспечивает похищение всех файлов данных, включая изображения и документы, всего дерева реестра Windows (HKCU), списков файлов со всех приводов. Для этого используется импортированное приложение с открытым кодом WinAudit. Собранная информация зашифровывается с применением криптографии эллиптических кривых.

По информации ESET это троянское ПО встречается довольно редко. Однако компания указывает на его опасность из-за способности атаковать изолированные от сети системы и не оставлять видимых признаков своего присутствия. Кроме того USB Thief легко модифицировать для более разрушительных типов нагрузки.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365

+11
голос

Напечатать Отправить другу

Читайте также

 

Ukraine

 

  •  Home  •  Ринок  •  IТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Мережі  •  Безпека  •  Наука  •  IoT