Zaloguj się

ichito · 04.03.2014, 13:22

[Aby zobaczyć linki, zarejestruj się tutaj]

Cytat: Eksperci bezpieczeństwa z laboratorium G Data w Bochum zidentyfikowali wyrafinowany oraz wysoce złożony spyware, przygotowany najprawdopodobniej przez rządowych programistów. Oprogramowanie zaprojektowano celem wykradania najbardziej poufnych danych z sieci komputerowych o wysokim potencjale i wartości przechowywanych w nich informacji. Są to przede wszystkim instytucje rządowe, służby wywiadowcze czy duże międzynarodowe korporacje.

Rootkit określany jako [b] Uroburosdziała w pełni automatycznie rozprzestrzeniając się w zaatakowanej sieci samodzielnie. Komputery nie posiadające bezpośredniego dostępu do internetu, także mogą stać się celem jego ataku. Specjaliści z G Data są przekonani, że stworzenie takiego malware’u wymagało ogromnych inwestycji w kadry oraz samą infrastrukturę. Sam projekt oraz wysoce zaawansowana budowa opisywanego złośliwego oprogramowania pozwala upatrywać źródeł jego pochodzenia w kręgach związanych ze służbami specjalnymi i agencjami rządowymi zajmującymi się bezpieczeństwem.

Czym jest Uroburos?

Uroburos to rootkit składający się z dwóch plików - sterownika oraz zaszyfrowanego wirtualnego systemu plików. Prowadzący atak może użyć złośliwego oprogramowania do przejęcia kontroli nad zainfekowanym komputerem, zdalnie wykonać kod dowolnego programu, by następnie zamaskować swoje działania w zainfekowanym systemie. Uroburos jest również zdolny do kradzieży danych oraz monitorowania ruchu sieciowego. Modułowa struktura pozwala twórcom na dokonywanie rozszerzeń dodających nowe funkcjonalności. Właśnie ze względu na swoją elastyczność i modułowość budowy specjaliści z G Data określają Uroburosa jako niezwykle zaawansowany i niebezpieczny malware.

Skomplikowana budowa wskazuje na tajne służby.

Złożoność oraz konstrukcja Uroburosa świadczy o ogromnych kosztach poniesionych podczas jego tworzenia, co pozwoliło na osiągnięcia tak wysokiego poziomu zaawansowania. Cyberprzestępcy czy nawet największe zorganizowane grupy przestępcze działające w sieci nie byłyby w stanie sprostać takiemu wyzwaniu, wszelkie tropy prowadzą do tajnych służb lub innych agencji rządowych. Jednego możemy być pewni odkrywając tajemnice Uroburosa, że jego twórcy mogli opracować jeszcze bardziej skomplikowany kod, którego dotychczas nie odkryto.

Uroburos został zaprojektowany do działania w olbrzymich sieciach należących do korporacji, jednostek rządowych, organizacji lub jednostek badawczych. Rootkit rozprzestrzenia się w sposób niezależny działając w trybie P2P dzięki czemu zainfekowane komputery w zaatakowanej sieci komunikują się ze sobą. Atakującym wystarczy jedynie jeden komputer, tzw. "styk" z dostępem do internetu. Model ataku pokazuje, że odpowiedzialni za Uroburosa liczyli się z sytuacją, w której atakowana sieć obejmuje komputery nie posiadające podłączenia do internetu. Tłumaczy to szpiegowane wszystkich stacji klienckich w sieci. Po zdobyciu interesujących sprawców danych, przesyłane są one do innego zaatakowanego komputera posiadającego dostęp do sieci, a następnie eksportowane są do serwera kontrolowanego przez dokonujących ataku. Uroburos działa na systemach 32 i 64 bitowych od Microsoftu.

Powiązanie z atakami na USA z 2008 roku.

Za rootkitem Uroburos stoją najprawdopodobniej ci sami sprawcy co za atakami na sieć wojskową USA CENTCOM z 2008 roku. Wykorzystano wtedy szkodliwe oprogramowanie o nazwie agent.BTZ. Uroburos sprawdza atakowaną maszynę pod kątem jego zawartości. Jeżeli złośliwe oprogramowanie agent.BTZ jest już zainstalowane na atakowanym komputerze odstępuje od zaplanowanych działań. Specjaliści G Data Software podczas analizy pliku natrafili na wskazówki mówiące, że twórcy rootkita komunikują się w języku rosyjskim.

Całość

[Aby zobaczyć linki, zarejestruj się tutaj]

Macierzysty raport G Data

[Aby zobaczyć linki, zarejestruj się tutaj]

facecik · 04.03.2014, 13:33

Przydała by się próbka ,żeby sprawdzić nasz rodzimy produkt SS Smile

**tachion** · 07.03.2014, 23:25

No to do dzieła Smile

[malware]

[Aby zobaczyć linki, zarejestruj się tutaj]

[/malware]

08.03.2014, 00:21

SpyShelter milczy (test na wirtualce z win8.1 x64 na pokładzie).

facecik · 08.03.2014, 00:24

Jak masz możliwość to sprawdź jak się zachowa nowy CIS.

08.03.2014, 00:31

Na Win8.1 x64 comodo nie reaguje (HIPS włączony, tryb rozszerzonej ochrony też)
Tachion dał mi znać, że u niego zareagował na win7. Nie wiem więc, może te dziadostwo nie działa na win8/win81.
Sprawdzę spysheltera na win7.

**tachion** · 08.03.2014, 00:40

[Aby zobaczyć linki, zarejestruj się tutaj]

08.03.2014, 00:49

SpySHelter na Win7x64 nie reaguje przy normalnym uruchomieniu.
Przy uruchamianiu jako admin samego malware i owszem:

[Aby zobaczyć linki, zarejestruj się tutaj]

Jeśli zezwolimy na to, idą następne alerty odwołujące się do plików systemowych (2-3), a później info o tym, że dll.host chce monitorować schowek.

zbc · 08.03.2014, 11:22

Czyli CIS reaguje! Cool

Dodano: 08 mar 2014, 11:22

Ja jestem ciekawy jakby zareagował avast, eset, bitdefender, kaspersky i panda Smile

wojek · 08.03.2014, 12:15

zbc napisał(a):Ja jestem ciekawy jakby zareagował avast, eset, bitdefender, kaspersky i panda

oraz Online Armor i MBAM

zbc · 08.03.2014, 12:24

Wojek napisał(a):oraz Online Armor i MBAM

Dokładnie tak Smile

asg · 08.03.2014, 12:50

wojek napisał(a):
zbc napisał(a):Ja jestem ciekawy jakby zareagował avast, eset, bitdefender, kaspersky i panda

oraz Online Armor i MBAM

- bitdefender i kasperski ten konkretnie plik traktują jako zagrożenie
- MBAM milczy

wojek · 08.03.2014, 13:17

Czasem się zastanawiam, czy MBAM nie jest trochę przereklamowany;
chociaż niedawno wykrył i wyleczył mi jakąś infekcję w folderze temp.

jeszcze ciekawe, co z Avirą Question

zbc · 08.03.2014, 13:22

Ja wiem że MBAM ma mało sygatur, alema bardzo dobry silnik heurystuczny.

Houdini · 08.03.2014, 14:16

Uroburos omija patchguarda i instaluje własny sterownik. Podziekujmy Microsoftowi że soft zabezpieczający nie może działać na tym samym poziomie.

zbc · 08.03.2014, 14:19

Houdini napisał(a):Uroburos omija patchguarda i instaluje własny sterownik. Podziekujmy Microsoftowi że soft zabezpieczający nie może działać na tym samym poziomie.

Chodzi ci oEMET?

08.03.2014, 14:25

Nie, tu chodzi o ochronę kernela systemowego przez mechanizm Kernel Patch Protection. Jest on dostępny w 64-bitowych wersjach windows i robi problemy dla softu zabezpieczającego. Między innymi przez to nie ma np. DefenseWalla dla x64.

Wysłane z mojego Nexus 5 przy użyciu Tapatalka

zbc · 08.03.2014, 14:30

lukasamd napisał(a):Nie, tu chodzi o ochronę kernela systemowego przez mechanizm Kernel Patch Protection. Jest on dostępny w 64-bitowych wersjach windows i robi problemy dla softu zabezpieczającego. Między innymi przez to nie ma np. DefenseWalla dla x64.

Wysłane z mojego Nexus 5 przy użyciu Tapatalka

Rozumiem

. Czy ktoś może przetestować hitman pro.alert ( nie wiem czy HMPA może chronić przed urobusos) na uroburosie?

08.03.2014, 15:03

Padło pytanie o OA, proszę bardzo:

[Aby zobaczyć linki, zarejestruj się tutaj]

Gdy zezwolimy są kolejne alerty, np.:

[Aby zobaczyć linki, zarejestruj się tutaj]

Przy dalszym zezwalaniu widać, że svhost zaczyna korzystać z RAW.

zbc · 08.03.2014, 15:05

Tylko szkoda że w EISP nie będzie już hipsa Sad

Zaloguj się
Login:
Hasło:	Nie pamiętam hasła
	Zapamiętaj mnie