События

Вредонос использует сайты Yahoo и Quora для получения адреса C&C-сервера

Вредонос использует сайты Yahoo и Quora для получения адреса C&C-сервера

ИБ исследователи из Palo Alto Network обнаружили интересный образец вредоносного ПО, используемого в двух различных шпионских кампаниях. В исследовании говорится о бэкдоре CONFUCIUS_A, детектируемом с начала 2014 года.

Особенностью находки является способ генерации IP-адреса C&C-сервера, к которому подключаются боты. Обычно дешевое вредоносное ПО использует жестко прописанные в коде IP-адреса, более дорогой софт генерирует IP-адреса C&C-серверов с помощью сложных алгоритмов генерации доменных имен.

Однако CONFUCIUS_A не генерировал трафик на известные вредоносные IP и не использовал сложные алгоритмы генерации доменных имен. Анализ передаваемых с зараженных систем данных не показывал никакой аномалии. Исследователи могли наблюдать лишь обычный HTTP-трафик к популярным сайтам.

Внимательное исследование деятельности вредоноса показало, злоумышленники использовали Q&A секции на сайтах Yahoo и Quora для передачи инструкций ботам. Первый вариант вредоноса искал 2 маркера на Q&A-страницах на сайтах Yahoo и Quora. Между двумя маркерами присутствовало 4 или более слова. Вредонос сканировал содержимое страницы, выбирал все слова между двумя маркерами и конвертировал их в IP-адрес, используя таблицу соответствий слов цифрам.

На скриншоте ниже показан текст, анализируемый вредоносом.

Маркеры в тексте: "suggested options are" и "hope it will help". Текст между маркерами: "fill plate clever road" конвертируется вредоносном в IP-адрес 91.210.107.104.

Вредонос использует сайты Yahoo и Quora для получения адреса C&C-сервера

Второй образец - CONFUCIUS_B, действовал по такому же принципу, однако использовал немного другой алгоритм преобразования слов в цифры.

CONFUCIUS_A – вредонос, используемый в атаках на ресурсы госорганов Пакистана в 2013 году. CONFUCIUS_B – более новый образец вредоносного ПО, используемый в целевых атаках хакерской группировки Patchwork.

ИБ-компании, исследовавшие оба инцидента, полагают, что злоумышленники действуют с территории Индии.

Автор: Сергей Куприянов
29.09.2016 (13:40)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome

Все права защищены © 2010-2024

"alterprogs.com" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.com. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.