Новости бизнесаСтатьиАналитические колонкиДеньгиКурс валютБизнес технологии
Главная > Новости бизнеса > Hi-Tech > Backdoor.Korplug прикрывается легитимным Windows-приложением

Backdoor.Korplug прикрывается легитимным Windows-приложением

Среда, 1 августа 2012 г.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e

Корпорация Symantec сообщила об обнаружении нескольких целевых атак, использующих вредоносную программу Backdoor.Korplug, появившуюся в марте 2012 г. Атака осуществляется путём отправки жертве электронного сообщения со специальным вредоносным вложением. Это давно известный сценарий, но Backdoor.Korplug использует интересную технику самозапуска, прикрываясь доверенным приложением, отметили в Symantec.

Чаще всего по данному сценарию вредоносное ПО доставляется жертве в виде ZIP-архива с паролем или в виде документа Microsoft Office в расчёте на уязвимость Microsoft Windows Common Controls ActiveX Control Remote Code Execution Vulnerability (CVE-2012-0158). Также известны случаи, когда злоумышленники использовали украденные из компаний легитимные сертификаты для придания большего доверия двоичному файлу. Korplug не использует украденные сертификаты, вместо этого он прикрывается подписанной легитимной программой, осуществляя самозапуск в рамках привилегированного процесса, пояснили в компании.

В случае типовой атаки вредоносный документ вкладывается в письмо и отправляется жертве. После открытия документа запускается эксплойт для уязвимости MSCOMCTL.OCX RCE, и в случае успеха на компьютер будет записана и запущена на исполнение основная часть вредоносной программы.

Чтобы обмануть пользователя одновременно открывается безопасный документ, предупреждающий о невозможности открыть содержимое якобы из-за использования устаревшей версии. Однако если пользователь использует последнюю версию Microsoft Word и применил все обновления, предоставленные Microsoft, он будет защищен, и злоумышленник не сможет использовать эксплойт, утверждают в Symantec.

По мнению специалистов компании, исходный код вредоносной программы Backdoor.Korplug сложнее типичных бэкдоров, обычно используемых в подобных сценариях. Структура угрозы представляет собой единую среду, включающую несколько различных компонентов, каждый из которых выполняет определённую задачу. В их число также входят подключаемые модули перехвата ввода с клавиатуры и съёма информации с экрана.

Загружаемая «боевая часть» вредоносного комплекса состоит из трёх зашифрованных модулей: rc.exe, rc.dll и rc.hlp.


Структура атаки

Интересно, что файл rc.exe является легитимным компонентом Windows, который использует вредоносный файл rc.dll, который, в свою очередь, обеспечивает загрузку основной части вредоносного кода, размещённой внутри файла rc.hlp.

Если файл rc.exe является легитимным приложением, то почему он загружает вредоносную библиотеку – dll-файл? Для своей работы бинарник импортирует из модуля dll две функции. Обычно при запуске rc.exe импортирует легитимную библиотеку rc.dll, необходимую для его корректной работы. Однако, если вредоносный файл rc.dll присутствует в том же каталоге, что и rc.exe, то будет загружен вредоносный код вместо легитимной библиотеки из системной папки Windows, рассказали в Symantec. dll-файл считывает нужный фрагмент бинарного кода из файла rc.hlp и запускает его на исполнение.

Таким образом, полный цикл атаки выглядит следующим образом: использование документа с эксплойтом, открываемого вредоносной программой; сохранение на компьютере файлов rc.exe, rc.dll и rc.hlp; запуск легитимного приложения rc.exe, подписанного Microsoft, в привилегированном режиме; подстановка процессу rc.exe вредоносной библиотеки dll; подгрузка процессом rc.exe фрагментов бинарного кода из вредоносного файла rc.hlp; запуск основной программы (Backdoor.Korplug) в рамках доверенного процесса rc.exe. Далее угроза может загрузить любой другой компонент, и, если возникнет необходимость использовать другой привилегированный процесс, она может использовать тот же прием, отметили в Symantec.

Продукты компании детектируют все компоненты угрозы: целевое письмо, вредоносный документ, вредоносный код и вредоносную библиотеку dll.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e


Просмотров: 305
Рубрика: Hi-Tech
(CY)

Архив новостей / Экспорт новостей

Ещё новости по теме:

18: 00
Изображения чехла для iPhone 8 позволяют узнать больше о дизайне смартфона |
18: 00
Роскосмос: обнаружена новая верхняя граница биосферы Земли |
18: 00
Внимание! iPhone 7 не полностью защищён от воды |
17: 40
Макаки научились грабить и шантажировать |
16: 20
Создана 3D-ручка, печатающая стволовыми клетками |
16: 20
Зонд NASA "потрогает Солнце" |
16: 00
«ВТБ24» предложил предпринимателям «без опыта» кредиты на развитие бизнеса по франшизе |
15: 20
Rolls-Royce Sweptail: самый дорогой автомобиль в мире |
14: 40
10 самых наглых инвазивных видов животных |
14: 00
Алишер Усманов дарит iPhone 7 Plus авторам лучших стикеров о нём |
13: 20
Процессор Intel Core i9-7980XE будет иметь 18 ядер |
13: 20
Мобильное приложение опознает любой автомобиль |
13: 20
СБУ пришла с обыском в украинские офисы «Яндекса» |
13: 00
Смартфон Samsung Galaxy S8 продается у себя на родине вдвое быстрее, чем предшественники |
11: 40
Mail.Ru Group разрешит рекламодателям оплачивать только полные показы видеорекламы во «ВКонтакте» и «Одноклассниках» |
11: 20
Смартфон OnePlus 5 должны представить 15 июня |
11: 20
Asus готовится представить бюджетный смартфон со сдвоенной камерой |
11: 20
Смартфон LG G7 должен получить SoC Snapdragon 845 |
10: 40
Прыжки с переворотами: самый непредсказуемый автомобильный спорт |
10: 20
Сбой компьютерной системы привел к отмене большого количества рейсов авиакомпании British Airways |
10: 00
Центробанк отозвал лицензию у связанного с Германом Клименко «Айви банка» |
09: 20
Kia Brisa: как диктатор запретил первую модель Kia |
09: 20
Mssg.me — сайт-визитка для сбора всех аккаунтов в мессенджерах |
09: 00
Процессорная СВО ID-Cooling Auraflow 240 синхронизируется с системой подсветки Asus Aura |
08: 40
Samsung рассматривает возможность расширения полупроводникового производства в Китае |
08: 40
Почему если Apple Watch, то только стальные. Ответ Микку Сиду |
08: 40
Нейросеть научилась говорить с акцентом |
08: 20
Началось строительство крупнейшего оптического телескопа |
08: 00
ITC начинает проверку, призванную определить, нарушает ли Nikon в своих камерах патенты ASML и Carl Zeiss |
08: 00
РВК и «Сколково» вложат более 4,5 млрд рублей в три новых венчурных фонда |
07: 40
Специалисты из университета Мичигана утверждают, что нашли способ удешевить тестирование самоуправляемых автомобилей на 99,9% |
Новости бизнесаСтатьиАналитические колонкиДеньгиКурс валютБизнес технологии
Rating@Mail.ru
Условия размещения рекламы

Наша редакция

Обратная связь

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Skype: rosinvest.com (Русский, English, Zhōng wén).

Архивы новостей за: 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003