Организации и компании в СНГ атакует малварь PYLOT - «Новости»
Меню
Наши новости
Учебник CSS

Невозможно отучить людей изучать самые ненужные предметы.

Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3

Надо знать обо всем понемножку, но все о немногом.

Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы

Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)

Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода

Самоучитель CSS

Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5

Новости

Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости

Справочник CSS

Справочник от А до Я
HTML, CSS, JavaScript

Афоризмы

Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы

Видео Уроки


Наш опрос



Наши новости

       
21-12-2017, 14:00
Организации и компании в СНГ атакует малварь PYLOT - «Новости»
Рейтинг:
Категория: Новости

В конце сентября 2017 года компания Palo Alto опубликовала отчет о деятельности отдела Unit42, в котором также шла речь о вредоносной программе PYLOT. Специалисты «Лаборатории Касперского» пишут, что этот бэкдор известен им с 2015 года под называнием Travle. Более того, недавно компания участвовала в расследовании успешной атаки с применением Travle, в ходе которого был произведен детальный анализ угрозы. В результате специалисты «Лаборатории Касперского» решили дополнить выводы Palo Alto, опубликовав собственный отчет.


Малварь получила имя Travle так как в ранних образцах кода этого семейства встречалась следующая строка: «Travle Path Failed!». Позднее опечатку исправили, в новых версиях уже присутствовала строка «Travel Path Failed!».


Исследователи считают, что Travle может быть преемником другого известного семейства вредоноснов, NetTraveler. Во время изучения целевых фишинговых атак специалисты нашли множество вредоносных документов, имена которых предполагают русскоязычные цели, с зашифрованными исполняемыми файлами внутри:



Организации и компании в СНГ атакует малварь PYLOT - «Новости»


Такой метод шифрования уже давно и хорошо известен, в частности, изначально с его помощью злоумышленники маскировали в документах с эксплоитами бэкдор Enfal. Вскоре в подобных документах также стали обнаруживать не только Enfal, но и Travle, а еще позднее еще и малварь Microcin. При этом домены управляющих серверов Travle часто пересекаются с доменами Enfal. Что касается NetTraveler, в какой-то момент образцы Enfal начали использовать тот же метод шифрования для хранения в своем теле адреса управляющего сервера, который использовался в NetTraveler:





Все это позволяет предполагать, что Enfal, NetTraveler, Travle и Microcin — связаны друг с другом и, предположительно, имеют китайские корни.


Обмен данными с управляющим сервером бэкдор Travle начинает с отправки операторам собранной информации о целевой операционной системе. Передача данных происходит посредством POST-запроса HTTP на адрес, сформированный из домена управляющего сервера и указанного в параметрах пути. Малварь сообщает злоумышленникам следующие данные:


  • идентификатор пользователя (на базе имени и IP-адреса компьютера);

  • имя компьютера;

  • раскладка клавиатуры;

  • версия ОС;

  • IP-адрес;

  • MAC-адрес.

В ответ управляющий сервер сообщает бэкдору пути для получения команд и отправки отчетов о выполненных командах, пути для скачивания и отправки файлов, а также ключи RC4 и идентификатор C&C. При этом алгоритм шифрования зависит от типа передаваемых объектов.


Travle способен выполнять самые разные задачи: сканировать файловую систему; выполнять процессы; искать, удалять, переименовывать и перемещать конкретные файлы; создавать новые файлы конфигурации; обрабатывать файлы в пакетном режиме и запускать сценарий пакетной обработки; скачивать и отправлять файлы; скачивать и запускать плагины, а также выгружать их из памяти и удалять.


В заключение исследователи отмечают, что злоумышленники, ответственные за атаки Travle, действуют уже на протяжении нескольких лет, и их не волнует, что их могут отследить антивирусные компании. Дело в том, что обычно все модификации и новые дополнения к арсеналу этих хакеров обнаруживают быстро. Однако на протяжении всех этих лет у злоумышленников  не возникало необходимости менять свои тактические методы и приемы.


Перечисленные бэкдоры используются преимущественно в регионе СНГ, против правительственных организаций, организаций и компаний так или иначе связанных с вооруженными силами и разработкой вооружений, компаний, занимающихся исследованиями в сфере высоких технологий. По мнению аналитиков, это говорит о том, что даже организациям такого уровня еще предстоит пройти долгий путь, чтобы внедрить передовые методы информационной безопасности и эффективно противостоять целевым атакам.


Источник новостиgoogle.com

В конце сентября 2017 года компания Palo Alto опубликовала отчет о деятельности отдела Unit42, в котором также шла речь о вредоносной программе PYLOT. Специалисты «Лаборатории Касперского» пишут, что этот бэкдор известен им с 2015 года под называнием Travle. Более того, недавно компания участвовала в расследовании успешной атаки с применением Travle, в ходе которого был произведен детальный анализ угрозы. В результате специалисты «Лаборатории Касперского» решили дополнить выводы Palo Alto, опубликовав собственный отчет. Малварь получила имя Travle так как в ранних образцах кода этого семейства встречалась следующая строка: «Travle Path Failed!». Позднее опечатку исправили, в новых версиях уже присутствовала строка «Travel Path Failed!». Исследователи считают, что Travle может быть преемником другого известного семейства вредоноснов, NetTraveler. Во время изучения целевых фишинговых атак специалисты нашли множество вредоносных документов, имена которых предполагают русскоязычные цели, с зашифрованными исполняемыми файлами внутри: Такой метод шифрования уже давно и хорошо известен, в частности, изначально с его помощью злоумышленники маскировали в документах с эксплоитами бэкдор Enfal. Вскоре в подобных документах также стали обнаруживать не только Enfal, но и Travle, а еще позднее еще и малварь Microcin. При этом домены управляющих серверов Travle часто пересекаются с доменами Enfal. Что касается NetTraveler, в какой-то момент образцы Enfal начали использовать тот же метод шифрования для хранения в своем теле адреса управляющего сервера, который использовался в NetTraveler: Все это позволяет предполагать, что Enfal, NetTraveler, Travle и Microcin — связаны друг с другом и, предположительно, имеют китайские корни. Обмен данными с управляющим сервером бэкдор Travle начинает с отправки операторам собранной информации о целевой операционной системе. Передача данных происходит посредством POST-запроса HTTP на адрес, сформированный из домена управляющего сервера и указанного в параметрах пути. Малварь сообщает злоумышленникам следующие данные: идентификатор пользователя (на базе имени и IP-адреса компьютера); имя компьютера; раскладка клавиатуры; версия ОС; IP-адрес; MAC-адрес. В ответ управляющий сервер сообщает бэкдору пути для получения команд и отправки отчетов о выполненных командах, пути для скачивания и отправки файлов, а также ключи RC4 и идентификатор C

Теги: CSS, Travle также отправки шифрования Enfal

Просмотров: 856
Комментариев: 0:   21-12-2017, 14:00
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

 
Еще новости по теме:



Другие новости по теме: