среда, 27 июня 2012 г.

The rapid evolution of Zeus P2P worries experts - Быстрая эволюция Zeus P2P беспокоит многих специалистов!


[27.06.2012 21:20:41] Разработчик сетевых средств защиты THREATMETRIX Labs опубликовал аналитический отчёт (pdf), посвящённый свежим вариантам P2P-трояна Zeus. По заключению экспертов, эта вредоносная утилита теперь заполучила весьма широкое распространение. Последние варианты Zeus применяют распределённую систему управления, в которой вообще нету C&C-серверов, а все команды поступают в сеть P2P напрямую от злоумышленников ч/з 1 из ботов, затем распространяются по сети. Целостность системы соблюдается за счёт криптографической защиты конфигурационных файлов. Специалисты компании THREATMETRIX Labs с горечью признают, что изменение криптографической защиты делает невозможным автоматическое определение нового варианта зловреда существующими антивирусными системами, в частности бессильна перед трояном и система THREATMETRIX. "Постоянное изменение шифровки в Zeus P2P вызывает сильное беспокойство, - сообщается в отчёте. - За последнее время мы обнаружили хотя бы 6 различных вариантов".



Иначе говоря, хозяева ботнета под прикрытием криптографии всегда внедряют новые векторы атак, в то время как ученые почти ничего не могут сделать. В отчёте THREATMETRIX приводятся примеры некоторых новых типов атак, которые удалось обнаружить у ботов Zeus благодаря расшифровке одного из конфигурационных файлов. Анализу подвергся образец Zeus с MD5-хэшем 7ebe4e6f8e5ea5981f4b32cd9465e6a3 (внутреннее наименование NR30). Статический разбор продемонстрировал, что у этого образца 988 функций, из которых 561 есть в прошлогоднем коде, и 427 новых, добавленных после нояб.. То есть разных разновидностей Zeus случается с большой скоростью. Утилита подверглась существенным изменениям: в сравнении с оригинальной версией, изъяты все операции по снятию паролей от ftp и покерных сайтов, в бэкдор добавлена новая команда fs_find_by_keyword. Ученые показывают, как авторы трояна внесли небольшое изменение в процедуру шифровки конфигурационного файла: сейчас он шифруется четырёхбайтовым ключом XOR, который формируется из последующих элементов: (item length << 0x10) | (0XFFFF & item id) | (BINSTORAGE Count << 8) По заверениям экспертов, это заняло у авторов утилиты пару часов, затем новый вариант Zeus стал снова невидим для антивирусов. 




[06/27/2012 21:20:41] The developer of network protection THREATMETRIX Labs has published an analytical report (pdf), on fresh options P2P-Trojan Zeus. According to experts, this malicious tool now acquired a very wide spread. Recent versions of Zeus use a distributed control system, in which there is no C & C-servers, and all the teams arrive in the P2P network from intruders directly c / o one of the bots, then spread over the network. The integrity of the system enforced by the cryptographic protection of the configuration files. The company's specialists THREATMETRIX Labs bitterly admit that the change of cryptographic protection makes it impossible to automatically detect the new variant of malware existing security systems, in particular, is powerless before the Trojan and the system THREATMETRIX. "The constant change in the Zeus P2P encryption is a strong concern - according to the report. - In recent years we have found at least 6 different options." In other words, the owners of a botnet under the guise of cryptography are always introducing new vectors of attack, while the scientists almost nothing can be done. The report provides examples of THREATMETRIX some new types of attacks that have failed to detect bots Zeus by decoding one of the configuration files. Analysis of the sample was subjected to Zeus with MD5-hash 7ebe4e6f8e5ea5981f4b32cd9465e6a3 (internal name of NR30). Static analysis has demonstrated that this sample, 988 functions, of which 561 are in last year's code, and 427 new ones added after the Nov. .. That is, different varieties of Zeus happens with great speed. The utility has undergone significant changes: in comparison with the original version, removed all the operations to remove passwords from ftp and poker sites, backdoor adds a new command fs_find_by_keyword. Scientists show how the authors of the Trojan made a slight change in procedure for encrypting configuration file: now it is four-byte encrypted key XOR, which is formed of the following elements: (Item length << 0x10) | (0XFFFF & item id) | (BINSTORAGE Count << 8) On assurances of experts, it took the authors of the utility a couple of hours, then a new version of Zeus was once again invisible to antivirus programs.




Монетизация твиттера!!!! 
SponsoredTweets referral badge
Теги: взлом,хакеры,кракозябр,krakoziaber,безопасность,защита информации, антивирус

1 комментарий:

  1. Ну когда всё это закончится? Вообще есть какая-нибудь защита от этой напасти!

    ОтветитьУдалить