Важное объявление!
У Нас Все раздачи мультитрекерные, при нуле пиров в релизах, можете смело вставать на закачку!
 
Автор Сообщение

HUNTER

Стаж:
4 года 10 месяцев
Сообщений:
65557

Репутация: 101

[+] [-]
Вне форума [Профиль] [ЛС]


Компьютерные злоумышленники и разработчики систем защиты постоянно ищут способы обхитрить друг друга. Усовершенствованные инструменты статичного, динамичного и автоматизированного анализа сделали жизнь атакующих на порядок сложнее, так как теперь очень непросто вторгнуться в систему, оставаясь при этом незамеченным. В свою очередь, хакеры активно разрабатывали методы вторжения, максимально усложняющие анализ.
Cisco
Последним ярким образцом такого подхода является зловредная программа, идентифицированная исследовательской группой Talos компании Cisco как malware с именем Rombertik. Обратная инженерия кода показала, что в этой программе реализовано несколько слоёв маскировки и функциональности, препятствующей успешному анализу и распознаванию. Статический и динамический анализ оказался трудно выполнимым. При обнаружении образца он разрушает MBR-запись.
Cisco
Обратная инженерия кода Rombertik помогла Talos лучше понять, как злоумышленники меняют методы для обхода обнаружения и усложнения анализа. Cisco уверена, что исследование Rombertik позволит ей улучшить свои продукты защиты.
Rombertik является сложной программой, которая внедряется в браузер и считывает персональную информацию пользователя. В отличие от Dyre, который специализируется на сборе банковской информации, Rombertik «впитывает» всё без разбора. Для внедрения в систему используются преимущественно методы социальной инженерии. Пример приведён ниже.
Cisco
Вирус оказался довольно коварным. Программа проверяет, не заметили ли её или начали анализировать, и если всё проходит успешно, она начинает шпионить за пользователем. В случае обнаружения Rombertik пытается разрушить MBR-запись и перезагрузить компьютер. Если ему это не удаётся, то вирус шифрует и делает недоступной папку документов. Весь жизненный цикл вируса изображен на рисунке.
Cisco
Распакованный Rombertik занимает всего 28 Кбайт. А архив «весит» 1264 Кбайт. Таким способом вирус пытается запутать инструменты анализа, ведь 97 % строчек кода похожи на реальный полезный файл. При анализе очень сложно обнаружить вредоносную сигнатуру. Кроме того, используются другие методы, подробнее о которых можно прочитать здесь.
Несмотря на всю сложность и коварность вируса, применение простых правил безопасности позволит не допустить угрозу его вторжения. Для этого достаточно не загружать вложения от подозрительных источников, использовать блокирование некоторых типов файлов, приходящих по электронной почте.

_________________
Показать сообщения:    

Текущее время: Сегодня 20:18

Часовой пояс: GMT



Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы