2022. október 5., szerda

Gyorskeresés

Rootkites laptopot Kínából

Írta: | Kulcsszavak: biztonság . botnet . Nitol . Microsoft

[ ÚJ BEJEGYZÉS ]

forrás: MS Technet blog

A Microsoft Digitális Bűnözés elleni csapata (Digital Crime Unit) a legutóbbi műveletében (Operation b70) egy olyan bűnözői csoportot göngyölített fel, amely beépült a notebookgyártók beszállítói láncába, és a laptopokat már a piacra kerülés előtt fertőzték meg. A használt kártevő a Nitol botnethez tartozik és az alkalmazott terjesztési módszer jelentősen hozzájárult a rootkit terjedéséhez.

A vizsgálat kezdetén - 2011 augusztusában - a DCU "ügynökei" 20 gépet vásároltak különböző kínai városokból és ezekből egy gépen (laptopon) találtak előre installált rootkitet.
A rootkit terjedési módjai a hálózati és eltávolítható eszközökön található könyvtárak fertőzése. A rootkit olyan könyvtárakat fertőz meg, melyben találhatók alkalmazás fájlok (exe, dll, ocx, stb), és tömörített fájlok (pl. zip, rar). A könyvtárakba másolt rosszindulatú fájlokat fájlrendszer szinten igyekszik a kártevő eltüntetni (a Hidden, System, Read-Only kapcsolók beállításával).

A rootkit a terjedésre a "közkedvelt" Insecure Library Loading sebezhetőséget használja ki, az általa másolt fájl az LPK.DLL
Ennek valós párja megtalálható a %SystemROOT%\System32\ könyvtárban - azonban a DLL betöltési sor alapján a lokális könyvtárban keresi először a rendszer a betölthető fáljokat. Az LPK.DLL egy ablakkezeléssel kapcsolatos dinamikus függvénykönyvtár, ennek a helyét veszi át a rootkit LPK.DLL-je (mely betölti a valós fájlt is).

2012 Szeptember tizedikén a Kelet Virginiai Bíróság jóváhagyta hogy a Microsoft - többek között - átvegye a botnet egyik CC szerverének (3322.org) DNS hosztolását. A Microsoft saját DNS szerverének használata lehetővé tette, hogy a jogszerű tartalmak forgalmának átengedése mellett a Nitol botnetet és a 3322.org alatt található közel 70.000 rosszindulatú aloldalt elérhetetlenné tegye.

Hozzászólások

(#1) sztanozs


sztanozs
veterán

Megérkezett az igazi integrált rootkit :U

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

(#2) b4kancs válasza sztanozs (#1) üzenetére


b4kancs
csendes tag

LOL! :DDD

Remélem azért a teszkó polcairól levett távol-keleti gépek nincsenek bedrótozva.. Vagy azokat nem is vizsgálja senki? :F

Tiszteletem!

(#3) sztanozs válasza b4kancs (#2) üzenetére


sztanozs
veterán

Nem hinném, hogy azokat bárki is vizsgálja...

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

További hozzászólások megtekintése...
Copyright © 2000-2022 PROHARDVER Informatikai Kft.