Żaden szpieg nie powstydziłby się tego zagrożenia!

[Mikołaj]

Eksperci z firmy ESET wykryli nietypowe zagrożenie, którego działanie może sugerować, że powstało na specjalne zamówienie, a jego celem jest atak na konkretne firmy. Wirus przenosi się wyłącznie za pośrednictwem urządzeń USB, a jego jedynym celem jest kradzież danych z komputerów, do których podłączony zostanie nośnik. Zagrożenie działa jak profesjonalny szpieg – nie pozostawia śladów swojego działania na zaatakowanym komputerze, nie pozwala zidentyfikować jakie dokumenty zostały wykradzione, a wykrycie jego działania jest bardzo trudne.

[Aby zobaczyć linki, zarejestruj się tutaj]

Nowe zagrożenie, które programy antywirusowe ESET wykrywają jako Win32/PSW.Stealer.NAI, rozprzestrzenia się wyłącznie za pomocą dysków USB. Wirus ukrywa się jako złośliwy komponent jednej z trzech aplikacji w wersji przenośnej (tzw. portable) - Firefox, NotePad++ lub TrueCrypt. Jeśli użytkownik komputera wetknie pendrive ze wspomnianym zagrożeniem do portu USB, a następnie uruchomi aplikację, Win32/PSW.Stealer.NAI rozpocznie swoje działanie. Zagrożenie działa bezpośrednio z poziomu urządzenia USB, nie infekując dysku twardego atakowanej maszyny. Bez wiedzy użytkownika wirus kradnie wybrane dane z zaatakowanej maszyny. Skradzione pliki zapisuje na pamięci USB, która rozpoczęła atak.

To, co sprawia, że zagrożenie jest niecodzienne, to fakt, że jego twórca bardzo dokładnie przemyślał cały proces ataku. Celem wirusa jest kradzież danych z konkretnych komputerów. Z kolei sposób ataku, ograniczony wyłącznie do nośników USB ze spreparowaną zawartością, sugeruje, że atakowane mają być maszyny odizolowane od Internetu, a więc często niezabezpieczone programem antywirusowym. Jeśli takie komputery posiadają zabezpieczenie, to z uwagi na brak połączenia z Internetem, baza sygnatur wirusów może być nieaktualna. Niektóre komponenty wirusa znajdującego się na dysku USB są szyfrowane i w ten sposób dodatkowo zabezpieczone przed możliwością pełnej analizy działania zagrożenia. Złośliwy plik jest aktualnie niewykrywany przez większość antywirusów i nie pozostawia żadnych trwałych śladów swojego działania na komputerze. Nie sposób także określić jakie dane, po zrealizowanym ataku, zostały wykradzione przez wirusa. 

- Biorąc pod uwagę fakt, że zagrożenie rozprzestrzenia się wyłącznie za pomocą pamięci USB i posiada mechanizmy zabezpieczające przed wyciekiem z zainfekowanego sprzętu, można przypuszczać, że zostało zaprojektowane w celu przeprowadzania ataków targetowanych na systemy odcięte od Internetu – mówi Kamil Sadkowski, analityk zagrożeń z firmy ESET. 

Jak podkreśla Kamil Sadkowski, ochrona przed tego typu zagrożeniami jest wyjątkowo trudna. W wypadku sieci firmowej zalecane jest, by administratorzy ograniczali użytkownikom dostęp do portów USB, np. z poziomu aplikacji antywirusowej. Przyda się również zdrowy rozsądek i postępowanie zgodnie z zasadą, by do nośników otrzymanych z nieznanych źródeł lub znalezionych przypadkowo, zawsze podchodzić z rezerwą.

Źródło: Eset

[tommyklab]

Czyli co? Coś ala Stuxnet2?

[Tajny Współpracownik]

Mają sygnaturę, wiedzą jak się rozprzestrzenia, znają "zasadę działania" ale nie wiedzą jakie dokumenty kradnie. LOL.

P.S. A nie wystarczy po prostu walnąć w pliku wsadowym coś w stylu xcopy C:\*.docx (dowolna litera, można to wziąć z wmic): /s /e? Żaden antywirus tego nie złapie .

[tachion]

No ale przeca skrypty tego typu są wykorzystywane (wscript - .vba) + do tego dochodzą też lepsze możliwości PowerShell.

[chomikos]

Mają sygnaturę, wiedzą jak się rozprzestrzenia, znają "zasadę działania" ale nie wiedzą jakie dokumenty kradnie. LOL.

P.S. A nie wystarczy po prostu walnąć w pliku wsadowym coś w stylu xcopy C:\*.docx (dowolna litera, można to wziąć z wmic): /s /e? Żaden antywirus tego nie złapie .

Sam antywirus tego nie wyłapie, ale analiza zachowań już tak. Za kopiowanie na dysk zewnętrzny +n punktów, jako że bez gui to kolejne +m punktów, +pliki *.docx | *.xlsx etc. to kolejne punkty - to już sygnał do tego aby program wykonujący takie działania zatrzymać.

I tak jak powiedział tachion .vbs czy PowerShell, z naciskiem na ten drugi.

[Tajny Współpracownik]

Sam antywirus tego nie wyłapie, ale analiza zachowań już tak. Za kopiowanie na dysk zewnętrzny +n punktów, jako że bez gui to kolejne +m punktów, +pliki *.docx | *.xlsx etc. to kolejne punkty - to już sygnał do tego aby program wykonujący takie działania zatrzymać.

Kopiowanie na dysk zewnętrzny? LOL, to użytkownik nie może sobie skopiować pliku na pendrive?

Brak gui? E tam, wystarczy uchwyt do okna cmd. Argument nietrafiony, bo przecież używamy cmd. Gdybyś napisał własną aplikację, ukrył formatkę i wywołał uruchomienie procesu np. takim CreateProcess(), no to oki... można by się przyczepić (a w ogóle jeszcze lepiej w osobnym wątku wywołać CreateProcess() a następnie WaitForSingleObject()...). To jest oczywiście sposób dzieciaka początkującego programisty, bo wystarczy np. w IDE stworzyć projekt Windows Application, zamiast Windows Console Application. A w takim Visual Studio dla już stworzonego projektu C++ trzeba zmienić main() na WinMain() i zmienić definicję preprocesora (nie pamiętam nazwy) z _CONSOLE na _WINDOWS.

Można to inaczej rozwiązać. Tworzymy plik skrypt.vbs:

Kod:

set args = WScript.Arguments
num = args.Count

sargs = ""
if num > 1 then
   sargs = " "
   for k = 1 to num - 1
       anArg = args.Item(k)
       sargs = sargs & anArg & " "
   next
end if

Set WshShell = WScript.CreateObject("WScript.Shell")

WshShell.Run """" & WScript.Arguments(0) & """" & sargs, 0, False

Następnie tworzymy autorun.inf

Kod:

[autorun]
open=wscript.exe skrypt.vbs plik_bat.bat %*

Ale to i tak nie zawsze zadziała, bo taka siódemka na podłączonym pendrive wykonuje tylko pola label i icon w sekcji autorun. Dla niej pole open w ogóle nie istnieje. Chyba że dodamy autorun.inf na płycie CD/DVD. Aha, i skoro Eset twierdzi że wystarczy podpiąć pendrive, to atakowana firma używa starego XP bez aktualizacji. Czyli mamy niewielkie szanse, że PowerShell jest w systemie...

Nie możemy ukryć okna cmd



Czyli jest tak. Uruchamia się plik wsadowy, okno jest widoczne. "Reputacja" "programu" jest na normalnym poziomie. "Program" zaczyna kopiować wszystkie pliki worda (przyjmujemy że użytkownik nie zrobił sobie plików o rozszerzeniu "*.andrzejdupa" i nie powiązał ich z wordem, więc kopiujemy docx/doc). Odpala się xcopy. Czy wszczynamy alarm? Teoretycznie można dać pattern, że jeśli program uruchamia program z zestawu potencjalnie niebezpiecznie używanych alikacji, to można podnieść alarm. Albo chociaż zwiększyć tę Twoją ocenę punktową. Właściwie tu może być podejrzane uruchamianie aplikacji do kopiowania plików, skoro mamy funkcje do kopiowania plików wbudowane w języki, ewentualnie funkcje wbudowane w system.

Xcopy kopiuje pliki. Żeby obliczyć ile plików skopiowano, trzeba zamontować hak na xcopy.exe i liczyć ile razy wywołano funkcję API kopiowania plików. Liczymy i rejestrujemy operacje we/wy, żeby ewentualnie cofnąć zmiany (wszak dobry BB powinien cofać zmiany).

Najprościej:
- w pliku bat na sam start wrzucamy komunikat pochodzący rzekomo od systemu, w stylu "trwa konfigurowanie nośnika wymiennego, proszę czekać..."
- następnie xcopy i kopiujemy rekursywnie pliki na podpięty dysk. Jak zdobyć literkę dysku wymiennego chyba pisałem?
- bat się zamyka, dajemy komunikat że nośnik wymienny jest gotowy do użycia


Całą sprawę można rozwiązać jednym wzorem zachowań w BB. Niech wykrywa uruchamianie plików exe, com, vbs, bat. Ze wszystkich możliwych lokalizacji. Zestaw dopuszczonych aplikacji dodajemy do reguł i jakoś to będzie działać. Po dwóch dniach wyrzucą człowieka, który stworzył taki wzór. Użytkownik końcowy wpadłby w szał ...

[tommyklab]

Pamiętam do dziś, że za czasów Kaspersky 2007 (KIS2007) po napisaniu w notatniku "format c:" i próbie zapisania na HDD, Kaspersky podnosił alarm że wirus Piękne czasy. Today not working

[ichito]

A nie mogłoby być tak, że szkodnik zwyczajnie uruchamia się w jakimś obszarze pamięci tylko, ale ten obszar jest szyfrowany, co dzieje się podobnie jak w przypadku działania Shadow Defender? Po akcji wszystko znika i nie jest ani do znalezienia, ani do odtworzenia i stąd brak informacji o tym, co zostało ukradzione...to, co zostaje jest przecież zaszyfrowane w plikach szkodnika. Nie znam HIPSa ani BB, który by taką akcję wykrywał.
Wydaje mi się, że dane które szkodnik zbiera nie mogą być zbyt obszerne - to raczej informacje o systemie, ustawienia, hasła, loginy, itp czyli to, co ewentualnie może pomóc w przejęciu maszyny w sprzyjających okolicznościach. kto z nas wymienia po ataku sprzęt, zmienia konta uzytkowników, hasła systemowe i wszelkie inne?...pewnie niewielki odsetek tylko.