Ивановский Торрент трекер
Яндекс.Погода
 

[Цитировать]
HUNTER


Компьютерные злоумышленники и разработчики систем защиты постоянно ищут способы обхитрить друг друга. Усовершенствованные инструменты статичного, динамичного и автоматизированного анализа сделали жизнь атакующих на порядок сложнее, так как теперь очень непросто вторгнуться в систему, оставаясь при этом незамеченным. В свою очередь, хакеры активно разрабатывали методы вторжения, максимально усложняющие анализ.
Cisco
Последним ярким образцом такого подхода является зловредная программа, идентифицированная исследовательской группой Talos компании Cisco как malware с именем Rombertik. Обратная инженерия кода показала, что в этой программе реализовано несколько слоёв маскировки и функциональности, препятствующей успешному анализу и распознаванию. Статический и динамический анализ оказался трудно выполнимым. При обнаружении образца он разрушает MBR-запись.
Cisco
Обратная инженерия кода Rombertik помогла Talos лучше понять, как злоумышленники меняют методы для обхода обнаружения и усложнения анализа. Cisco уверена, что исследование Rombertik позволит ей улучшить свои продукты защиты.
Rombertik является сложной программой, которая внедряется в браузер и считывает персональную информацию пользователя. В отличие от Dyre, который специализируется на сборе банковской информации, Rombertik «впитывает» всё без разбора. Для внедрения в систему используются преимущественно методы социальной инженерии. Пример приведён ниже.
Cisco
Вирус оказался довольно коварным. Программа проверяет, не заметили ли её или начали анализировать, и если всё проходит успешно, она начинает шпионить за пользователем. В случае обнаружения Rombertik пытается разрушить MBR-запись и перезагрузить компьютер. Если ему это не удаётся, то вирус шифрует и делает недоступной папку документов. Весь жизненный цикл вируса изображен на рисунке.
Cisco
Распакованный Rombertik занимает всего 28 Кбайт. А архив «весит» 1264 Кбайт. Таким способом вирус пытается запутать инструменты анализа, ведь 97 % строчек кода похожи на реальный полезный файл. При анализе очень сложно обнаружить вредоносную сигнатуру. Кроме того, используются другие методы, подробнее о которых можно прочитать здесь.
Несмотря на всю сложность и коварность вируса, применение простых правил безопасности позволит не допустить угрозу его вторжения. Для этого достаточно не загружать вложения от подозрительных источников, использовать блокирование некоторых типов файлов, приходящих по электронной почте.
Показать сообщения:    

Текущее время: 22-Сен 05:10

Часовой пояс: UTC - 1


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

!ВНИМАНИЕ!
Сайт не предоставляет электронные версии произведений, а занимается лишь коллекционированием и каталогизацией ссылок, присылаемых и публикуемых на форуме нашими читателями. Если вы являетесь правообладателем какого-либо представленного материала и не желаете, чтобы ссылка на него находилась в нашем каталоге, свяжитесь с нами, и мы незамедлительно удалим ее. Файлы для обмена на трекере предоставлены пользователями сайта, и администрация не несет ответственности за их содержание. Просьба не заливать файлы, защищенные авторскими правами, а также файлы нелегального содержания!