|
support
Регистрация: 19.08.2007
Адрес: Зея
Сообщений: 15,797
Сказал(а) спасибо: 166
Поблагодарили 203 раз(а) в 86 сообщениях
Репутация: 75760
|
Ну и непосредственно про сам вирус LURK^
Цитата:
Особенности троянца Банковский троянец Lurk стоит особняком среди вредоносного ПО, предназначенного для хищения денежных средств у клиентов банков:
- Lurk существует и активно развивается более 5 лет, но действует избирательно только на тех компьютерах, где он может украсть деньги. За более чем пятилетнюю историю этого банковского троянца в C&C было зарегистрировано около 60 000 ботов, что не слишком много.
- Lurk – это универсальный банковский троянец, он способен похищать деньги не только из системы «iBank 2», которая используется многими российскими банками, но и из уникальных интернет-систем ДБО некоторых крупных российских банков.
- Lurk активно противодействует обнаружению – разработчики прикладывают много усилий, чтобы минимизировать детектирование своего троянца, а таргетированные атаки делают затруднительным оперативное получение новых самплов.
- По использованным методам внутренней организации зловреда, объему функционала и частоте вносимых изменений можно сделать вывод, что над проектом работает команда профессиональных разработчиков и тестировщиков.
Мы не утверждаем, что этот троянец хорошо написан – мы видели и анализировали банковские троянцы, которых отличало гораздо более высокое качество кода. Более того, анализ Lurk показал, что над кодом работало несколько программистов, и их квалификация была различной. Местами в коде встречаются откровенно неудачные решения, которые авторы не исправляют годами (мы, разумеется, не будем указывать авторам на их ошибки). Отметим, что вирусописатели развивают свой продукт – мы видим повышение качества кода с течением времени и улучшение используемых авторами решений. Lurk отличает высокая таргетированность – авторы делают все, чтобы заразить максимальное количество интересных им жертв, не привлекая при этом внимания аналитиков и исследователей. Инциденты, о которых известно нам, убеждают в том, что Lurk со своей задачей справляется – периодически приходят сообщения о хищениях в системе ДБО, а криминалистические исследования после инцидентов показывают следы Lurk на машине.
Жертвы
В качестве жертв злоумышленников интересуют:
- IT-организации в сфере телеком;
- СМИ и новостные агрегаторы;
- банки и финансовые организации.
Скомпрометированные компьютеры IT- и телеком-компаний дают хозяевам Lurk возможность создания новых перевалочных серверов, через которые идет трафик к серверам злоумышленников. Сайты СМИ и новостные агрегаторы, особенно те, которые посещают бухгалтеры, используются для заражения большого числа компьютеров пользователей из «целевой аудитории» Lurk. Банки и финансовые организации интересуют злоумышленников для достижения их основной цели – кражи денег.
Желание авторов зловреда закрепиться на машинах силовых структур (эти организации также есть в списке атакованных) оставим без комментариев.
В число атакованных троянцем мишеней вошли, пожалуй, все крупные российские банки, в том числе четыре крупнейших.
Распространение
Для распространения банковского троянца Lurk применяется широко известная техника drive-by. Кроме нее, авторы также распространяют троянца через взломанные сайты легитимного ПО и внутри сетей организации – при помощи утилиты psexec.
Заражение через эксплойт-пак
Lurk распространяется главным образом при помощи знаменитого эксплойт-пака Angler (авторское название – XXX).При таком способе распространения для заражения компьютера жертвы не требуется никаких специальных действий пользователя.
Angler по праву считается флагманом среди эксплойт-паков: эксплойты для новых уязвимостей почти всегда реализуются сначала в Angler, а уже потом расползаются по остальным пакам (не исключено, что просто «заимствуются»). Нередки случаи реализации в Angler эксплойтов к уязвимостям «нулевого дня», что делает его особенно опасным.
Вот как обычно происходит подготовка к заражению Lurk новых жертв:
- Выбирается сайт, интересный ЦА: бухгалтерский форум, новостной портал и т.п. Заражение сайта осуществляется при помощи скрытного размещения на нем ссылки на лендинг эксплойт-пака. Если заражение сайта невозможно, вредоносная ссылка размещается в материалах какой-либо «партнерки», которые демонстрируются на сайте.
- Зашедшие на сайт пользователи скрытно отправляются на лендинг эксплойт-пака. Angler пытается произвести эксплуатацию какой-либо уязвимости в ПО пользователя, что должно привести к запуску загрузчика Lurk – mini.
Отметим, что ссылка на лендинг эксплойт-пака либо ставится на короткое время, либо появляется и исчезает периодически. Например, мы наблюдали заражение форума одного известного журнала для бухгалтеров, на котором вредоносная ссылка появлялась в рабочие дни ровно на два часа в обеденное время. Мы, разумеется, замечали аномальную активность и оповещали владельцев ресурса. Однако к моменту, когда они читали наше письмо, ресурс уже был чист, и они не видели заражения. А между тем владельцы Lurk за время наличия вредоносной ссылки на форуме получали несколько новых зараженных вредоносным ПО компьютеров.
Заражение через взломанные сайты
Второй вариант заражения, который злоумышленники активно использовали, — это распространение вредоносного кода с легитимных сайтов. Судя по всему, при таком способе распространения зараженные файлы отдаются только пользователям из RU-зоны, остальные получают чистые файлы.
Заражение машин внутри сети организации
Для злоумышленников очень интересна схема, при которой при первоначальной атаке заражается один из компьютеров организации. Даже если на зараженной машине нет ничего, что представляет интерес для злоумышленников, такой компьютер находится в одной сети, в одном домене с другими компьютерами, которые обладают интересующей хозяев троянца информацией. В таких случаях для распространения внутри сети используется утилита Марка Руссиновича psexec, а для запуска основных модулей троянца на других компьютерах в сети – специальный дроппер mini. Такой способ может привести к крайне печальным последствиям, т.к. безопасность компьютера с интересующими злоумышленников данными по сути определяется безопасностью самого слабозащищенного компьютера в атакованной сети.
|
Источник
|