mediainfo - Médiások médiája
hírek | interjúk | jegyzet | tanulmányok | terminológia | karrier | képtár | videótár
Televízió Sajtó Outdoor/indoor Interaktív- és mobilmédia Mozi Rádió Média Hirdető Gazdaság Egyéb Ügynökség Integrált marketingkommunikáció Kutatás Médiastílus News in English


szakmai partnereink:























kommunikációs partnereink:
newsAgent hírfigyelő rendszer
Reklamporta.hu
Observer.hu
SzP.hu
mti.hu
Médiafigyelő - IMEDIA médiafigyelés
Legális szoftverek használata a kiberbűnözésben
2017-02-13 09:04 [Médiainfó - www.mediainfo.hu]

140-nél is több bank, telekommunikációs cég és kormányzati szervezet hálózatába hatoltak be Európában, Amerikában és Afrikában a Kaspersky legújabb jelentése szerint.

A Kaspersky Lab szakértői nemrég olyan "láthatatlan"és célzott támadás-sorozatot észleltek, amelyhez széles körben elterjedt legális szoftvereket használtak, mint például a Windows PowerShell nevű rendszerkezelő, feladatautomatizáló platformját vagy adminisztrációs eszközöket. A támadás során a kártékony programokat nem a merevlemezre telepítették, hanem elrejtették az említett szoftverek memóriájába. Ez a metodika lehetővé teszi a rosszindulatú programok elfedését a nyomozók elől, ugyanis az ilyen behatolások során a bűnözők viszonylag kevés ideig "tartózkodnak" a megtámadott rendszeren, csupán információgyűjtésre használják.

2016 végén a Kaspersky Lab szakemberei felvették a kapcsolatot a FÁK tagállamok (a Szovjetunió 15 volt tagországának szövetsége) olyan bankjaival, amelyek behatolás-tesztelő programokat észleltek a szerverhálózatok memóriájában, mint például a Meterpreter programot. Ezt a programot manapság főként rosszindulatú célokra használják. A Kaspersky Lab fedezte fel, hogy a Meterpreter programkódját kombinálták a PowerShell legális szoftver parancsállományával és más egyéb szkriptekkel. Ez a kombináció alkalmas arra, hogy elrejtőzzön a memóriában és észrevétlenül gyűjtse az információkat, mint például rendszergazda jelszavakat és ilyen módon akár távolról is átvegye az irányítást az áldozat rendszerén. Úgy tűnik, a végső célja a kiberbűnözöknek a pénzügyi folyamatokhoz való teljes hozzáférés.

Kiderült, hogy a fent említett esetek nem egyediek, valójában tömeges támadásról beszélhetünk: több mint 140 vállalati hálózat elleni támadást regisztráltak számos üzleti szektorban. A legtöbb áldozat az Egyesült Államokban, Franciaországban, Ecuadorban, Kenyában, az Egyesült Királyságban és Oroszországban található. Összesen 40 országban észleltek fertőzött hálózatokat.

Egyelőre ismeretlen a támadások elkövetője. A nyílt forráskód, a Windows segédprogramok és az ismeretlen domain nevek használata szinte lehetetlenné teszi, hogy meghatározzák a támadások elkövetőit. Jelenleg azt sem lehet megállapítani, hogy egy vagy akár több csoport használja ugyanazokat az eszközöket a támadásokra. A GCMAN és a Carbanak bűnöző csoport használ ehhez hasonló módszert.

A fent említett eszközök használata azt is megnehezíti, hogy a támadás részleteit megismerhessük. Egy kiber incidens során a szokásos felderítő eljárás folyamán a nyomozó követi a nyomokat és a mintákat, amit a támadók a fertőzött hálózatban hagytak. Míg a merevlemezen tárolt "hátrahagyott" adatokat akár a támadás után egy évvel is észlelni lehet, addig a memóriában tárolt kártékony programsorok a számítógép első újraindítása után törlődnek. Szerencsére ebben az esetben a szakértők időben hozzáfértek az adatokhoz.

"A támadók alapvető szándéka, hogy elrejtsék a tevékenységüket valamint nehezítsék a felderítésüket, ezért a memória-alapú támadások egyre elterjedtebbek, ami tovább nehezíti a kártékony programok és azok funkcióinak elemzését. A fenti esetekben a támadók minden elképzelhető technikát felhasználtak és bemutatták, hogy már nem szükséges a malware-ek használata egy eredményes támadáshoz: a legális szoftverek és/vagy nyílt forráskódok alkalmazása tökéletesen ellehetetleníti a detektálást." - mondta Sergey Golovanov, Kaspersky Lab fő biztonsági kutatója.

A támadók még mindig aktívak, ezért fontos megjegyezni, hogy egy ilyen támadás észlelése csak a memóriában és a hálózatban lehetséges valamint ilyen esetekben a Yara szabályok használata a nem használt kártevő fájlok átvizsgálásán alapul.




Kapcsolódó cikkek:

További hírek:


Értékesítése/forgalma hány százalákát várja online/digitális csatornákból 2017-ben?

0-10%

11-20%

21-30%

31-40%

41-50%

51-60%

61-70%

71-80%

81-90%

91-100%

Promóter
[2017-04-25]
Komissiózó
[2017-04-21]
tovább  
Hír küldése
Küldjön nekünk Ön is híreket! Kattintson a fenti linkre!