HOME    FORUMS    MEMBERS    RECENT POSTS    LOG IN  
Баннер 1   Баннер 2

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
Вернуться   Форум АНТИЧАТ > ИНФО > Мировые новости. Обсуждения.
Перезагрузить страницу «Касперский» нашел хитрый троян, умеющий читать защищенные соединения
   
 
 
Опции темы Поиск в этой теме Опции просмотра
Предыдущая Предыдущее сообщение   Следующее сообщение Следующая

  #1  
Старый 08.10.2019, 13:49
mail156
Guest
Сообщений: n/a
Провел на форуме:
92227

Репутация: 0
По умолчанию
«Лаборатория Касперского» обнаружила троянец, который модифицирует генератор псевдослучайных чисел в браузерах, применяемый при TLS-подключениях, чтобы «маркировать» потенциально интересные соединения.





Эксклюзивный клуб

«Лаборатория Касперского» опубликовала анализ вредоносной программы Reductor, уникального троянца, способного маркировать исходящие TLS-соединения и манипулировать сертификатами безопасности. Судя по описанию, Reductor использует четыре сертификата, якобы выпущенные PayPal (ie-paypal), GeoTrust и Verisign.

«В апреле 2019 г. мы обнаружили новый вредонос, который компрометирует зашифрованные веб-соединения весьма впечатляюющим образом. Анализ вредоносной программы позволил нам подтвердить, что у её операторов есть ограниченный контроль над сетевым каналом жертвы, так что они могут подменять легитимные инсталляторы различных программ заражёнными «на лету». Это делает акторов членами чрезвычайно эксклюзивного клуба: лишь у очень немногих других есть сравнимые с этим возможности», - говорится в публикации в Securelist.

Reductor обладает типичными функциями троянца для удалённого управления заражённой системой (RAT): он может загружать, выкачивать и запускать файлы. Особый интерес, однако, вызывает способность троянца «манипулировать цифровыми сертификатами и маркировать исходящий TLS-траффик с помощью уникальных идентификаторов хоста».

Взломать для маркировки

И это достигается весьма и весьма своеобразным способом.

Авторы вредоносной программы проанализировали исходный код Firefox и двоичный код Chrome, и написали «патч», который меняет манеру функционирования генератора псевдослучайных чисел; браузеры используют этот генератор для создания уникальных последовательностей символов, обозначающих клиента (поле «client random»), при первоначальном установлении TSL-соединения.



«Лаборатория Касперского» обнаружила троян, способный декодировать TLS-трафик, то есть расшифровывать защищённые соединения

Reductor добавляет к client random ещё и зашифрованные уникальные идентификаторы на базе используемого ПО и оборудования. Перехват самих пакетов не осуществляется.

Для модификации генератора псевдослучайных чисел разработчики использовали маленький дизассемблер длин инструкций Intel.

Чтобы определить, какие из начальных TSL-соединений («рукопожатий») могут представлять интерес для операторов вредоноса, им сначала необходимо расшифровать поле «client hello». А следовательно, каким-то образом иметь доступ к трафику жертвы.

«Reductor сам не себе не производит атак «человек посередине» (MitM). Однако изначально мы предположили, что устанавливаемые [вредоносом] сертификаты могут способствовать MitM-атакам на TLS-трафик», - говорится в публикации Securelist. В тех сэмплах, которые экспертам удалось изучить никаких MitM-функций не было. «Самому по себе Reductor и не обязательно производить MitM-атаки, - полагает Алексей Водясов, эксперт по информационной безопасности компании SEC Consult Services. - На примере разработок Equation мы уже наблюдали, как различные функции выполнялись отдельными специализированными программами. Не исключено, что Reductor - это только часть куда более широкого и многофункционального кибершпионского арсенала».

В самой «Лаборатории Касперского» полагают, что Reductor может открывать возможности для последующих MitM-атак.

«Помимо того, что вредоносная программа Reductor патчит библиотеки браузеров, чтобы маркировать трафик, она еще и устанавливает свой сертификат на зараженную машину, что по логике вещей может дать возможность проводить атаки типа MitM. Возможное продолжение атаки, которое мы не можем пока подтвердить, заключается в том, что, скорее всего, у атакующих есть возможность перехватывать весь трафик жертвы и пропускать его через себя, - пояснил корреспонденту CNews руководитель российского исследовательского центра «Лаборатории Касперского», Юрий Наместников, отметив также, что вредоносная программа маркирует весь HTTPS-трафик с браузеров зараженного компьютера».

Перехват в полёте

По мнению авторов публикации Securelist, Reductor также позволяет инфицировать инсталляторы других программ дополнительными троянцами прямо во время их скачивания жертвой. По-видимому, это означает, что к этому моменту операторы уже обеспечивают себе устойчивое присутствие в заражённой инфраструктуре.

Что же касается атрибуции, то, по мнению экспертов «Лаборатории Касперского», за Reductor стоит известная своим новаторством APT-группировка Turla. Об это свидетельствует, в частности, то, что жертвами атак становятся организации, которые и раньше представляли особый интерес для операторов Turla.

Кроме того, эксперты «Лаборатории» усмотрели большую степень сходства между Reductor и троянцем COMPfun, известным с 2014 г. По-видимому, авторами обеих вредоносных программ являются одни и те же люди.

https://safe.cnews.ru/news/top/2019-..._nashel_hitryj
 
Ответить с цитированием
 



« Предыдущая тема | Следующая тема »


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ