Trend Micro: Malware χρησιμοποιεί σύνδεση SSL για την επικοινωνία του με τον C&C server

Πρόσφατα έχουμε δει πάρα πολλές εκστρατείες spam που αξιοποιούν τις τελευταίες εκρήξεις του μαραθωνίου της Βοστώνη. Ωστόσο, οι ειδικοί της Trend Micro εντόπισαν μια στοχευμένη επίθεση που αξίζει να αναφερθεί.

Όλα ξεκινούν με ένα e-mail που έρχεται και έχει τίτλο “Παρακαλώ προσευχηθείτε για τη Βοστώνη.”
“Please pray for Boston”


Στο email υπάρχει κάτι σαν αυτό: “Δύο ισχυρές βόμβες εξερράγησαν κοντά στη γραμμή του τερματισμού του Μαραθωνίου της Βοστώνης το απόγευμα της Δευτέρας, σκοτώνοντας τουλάχιστον τρία άτομα, συμπεριλαμβανομένου και ενός παιδιού, και τραυματίζοντας τουλάχιστον 100.  Μια από τις πιο αγαπημένες τελετές της πόλης την άνοιξη μετατράπηκε από μια σκηνή επευφημίας και θρίαμβου σε μια αιματηρή σφαγή και θάνατο. “

Συνημμένο σε αυτά τα μηνύματα υπάρχει και ένα φαινομενικά ακίνδυνο έγγραφο του Word. Όταν όμως κάποιος ανοίξει το έγγραφο θα τρέξει και ένα εκτελέσιμο αρχείο που ανιχνεύεται από την Trend Micro σαν Troj_Naikon.A.

sslΤο Troj_Naikon.A έχει σχεδιαστεί  να συνδέεται με τον server διοίκησης και έλεγχου με SSL παρακαλώ. Το ψηφιακό πιστοποιητικό που χρησιμοποιήθηκε στην επίθεση είναι γεμάτο με ψευδείς πληροφορίες, όπως το “abc” για το όνομα της οργάνωσης.

  Το Patch Tuesday Ιουνίου διορθώνει συνολικά 94 ευπάθειες

Η χρήση του SSL διασφαλίζει ότι η κίνηση που αποστέλλεται μεταξύ του malware και του server είναι κρυπτογραφημένη, μειώνοντας τις πιθανότητες του να εντοπιστεί από κάποιο λογισμικό ασφαλείας.

Ο διακομιστής που χρησιμοποιείται για το κέντρο διοίκησης και έλεγχου του κακόβουλου λογισμικού είχε χρησιμοποιηθεί και στο παρελθόν από κάποιο άλλο κακόβουλο λογισμικό, που ήταν ενεργό το 2011. Ωστόσο, δεδομένου ότι έχει περάσει πολύς καιρός από τότε, οι ειδικοί λένε ότι είναι ασαφές εάν υπάρχει σύνδεση μεταξύ των δύο.

“Η χρήση της κρυπτογράφησης SSL για την επικοινωνία με τον C & C server έχει τα πλεονεκτήματά της, ιδιαίτερα στην αποφυγή ανίχνευσης από τα λογισμικά ασφαλείας” αναφέρει ο Senior Threat Researcher της Trend Micro, Nart Villeneuve.

“Ωστόσο, μπορούμε να πάρουμε ορισμένα προληπτικά μέτρα, όπως το να αναζητούμε από προεπιλογή, τυχαίες ή κενές τιμές SSL στα πεδία του πιστοποιητικού και να περιορίσουμε τις  ανιχνεύσεις στα πιστοποιητικά που παρέχονται από εξωτερικά δίκτυα.”

Ακολουθήσετε μας στο Google News iGuRu.gr at Google news

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται.

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).


  +  56  =  66