23.05.2017, 09:07
|
#1 (permalink)
|
|
Member
Регистрация: 07.01.2008
Сообщений: 39,692
Сказал(а) спасибо: 784
Поблагодарили 834 раз(а) в 404 сообщениях
Репутация: 124544
|
Athena - вредоносная программа от ЦРУ. Для всех версий Windows и обход антивирусов
Цитата:
На этой неделе сайт WikiLeaks обнародовал подробную информацию об эксплойте, который применялся ЦРУ для взлома всех версий Windows и получения полного контроля над целевой системой
Не успели утихнуть разговоры про шифровальщик WannaCry, который использовал известную АНБ уязвимость, как появилась информация о новой угрозе, разработанной ЦРУ.
На этой неделе сайт WikiLeaks обнародовал подробную информацию об эксплойте, который применялся ЦРУ для взлома всех версий Windows и получения полного контроля над целевой системой.
Проект ЦРУ под кодовым названием Athena позволяет взламывать абсолютно любые версии Windows, начиная от Windows XP и заканчивая Windows 10. В результате атакующее лицо может развертывать на целевые системы другие вредоносные программы, а также получать доступ к локальным файлам.
Цитата:
|
В отчете WikiLeaks сообщается “После установки вредоносная программа выполняет функцию маяка, т.е. загружает в память и выгружает из памяти вредоносные модули, а также извлекает файлы из определенных каталогов файловой системы. Угроза позволяет оператору настраивать параметры во время исполнения, что модифицировать выполняемые операции”.
|
Это означает, что ЦРУ может получить полный контроль над целевой системой Windows, загружать любые данные со взломанного компьютера и загружать их на своего собственного сервера.
Проект Athena был создан в августе 2015 года, т.е. ЦРУ разработала эксплойт спустя месяц после публичного релиза Windows 10.
Обход антивирусов
Вредоносная программа разрабатывалась не собственными силами ЦРУ, а стала результатом сотрудничества с американской компанией Siege Technologies, которая позиционируется как организация, специализирующаяся на “наступательных технологиях кибервойны”.
Первоначально Athena создавалась с расчетом обхода антивирусных систем. Интересно, что документация ЦРУ содержит упоминания о популярных антивирусных решениях, которые согласно информации агентства, не способны заблокировать эксплойт.
Цитата:
|
В руководстве Athena отмечается: “При установке происходит взлом службы DNS Cache. В Windows 7 и 8 эта служба работает по умолчанию работает в процессе svchost.exe (netsvcs), а в Windows 10 служба известная как NetworkService. Контекст пользователя NetworkService позволяет снизить меры безопасности системы. Реализация srvhost позволяет запускать службу в контексте netsvcs при следующей перезагрузке. Чтобы обойти данный недостаток и обеспечить немедленное выполнение после установки, существующая служба будет запускаться как NetworkService до следующей перезагрузки, и в это время будет использоваться пользователь System netsvcs”.
|
На данный момент неизвестно, успел ли Редмонд выпустить патчи против данного эксплойта. Официальных комментариев от Microsoft или ЦРУ пока не поступало.
|
Источник: comss.ru
|
|
|