02 Jul 2011 @ 8:58 

Oι ερευνητές ασφάλειας της Kaspersky σήμαναν συναγερμό για την ύπαρξη ενός νέου botnet το οποίο είναι σχεδόν άτρωτο, όπως χαρακτηριστικά το αποκαλεί ο Sergey Golovanov, στέλεχος της εταιρείας. Το νέο botnet με την ονομασία TDL-4 αποτελεί την τέταρτη γενιά του γνωστού από το 2008 botnet ΤDL και έχει μολύνει, σύμφωνα με τα στοιχεία του πρώτου τριμήνου του 2011, 4.5 εκατομμύρια υπολογιστές Windows.
“Δεν θα έλεγα πως είναι απολύτως άτρωτο, αλλά πως είναι αρκετά άτρωτο”, δήλωσε ο Joe Stewart από την εταιρεία Dell SecureWorks, γνωστός και ως ειδικός σε θέματα botnet.

“Είναι πολύ αποτελεσματικό στο να συντηρεί τον εαυτό του.”
Συνημμένο Αρχείο 89049Τόσο ο Sergey Golovanov όσο και ο Joe Stewart βγάζουν τα συμπεράσματα τους από την τρομακτική δυσκολία που αντιμετώπισαν προκειμένου να εντοπίσουν, να σβήσουν ή να το απενεργοποιήσουν. Το TDL-4 προσβάλει με κατάλληλο rootkit το MBR (master boot record) του υπολογιστή. To ΜΒR αποτελεί το πρώτο sector του σκληρού δίσκου (sector 0), εκεί όπου υπάρχει ο κώδικας για την αρχική εκκίνηση του λειτουργικού συστήματος μετά τους πρώτους ελέγχους του BIOS. Aκριβώς επειδή το TDL-4 εγκαθιστά το rootkit στο MBR είναι πλέον αόρατο από το λειτουργικό σύστημα ή ακόμα χειρότερα από το λογισμικό προστασίας του υπολογιστή. Όμως δεν είναι αυτό το φοβερό μυστικό του TDL-4.

Aυτό που πραγματικά το κάνει άτρωτο είναι ο συνδυασμός της κρυπτογράφησης και της χρήσης δημοσίων δικτύων P2P για τον χειρισμό του από command-and-control (C&C) servers.
“Ο τρόπος με τον οποίο η μεθοδολογία peer-to-peer χρησιμοποιείται στην περίπτωση του TDL-4, το κάνει πολύ δύσκολο να τερματιστεί η λειτουργία του”, δηλώνει ο Roel Schouwenberg, ο οποίος έχει μεγάλη πείρα σε θέματα καταστροφής botnets.

“Kάθε φορά που ένα botnet απενεργοποιείται, ανεβαίνει ο πήχης για το επόμενο”, σημειώνει χαρακτηριστικά. Ο Golovanov προσθέτει πως οι δημιουργοί του TDL-4 χρησιμοποίησαν δικό τους αλγόριθμο κρυπτογράφησης και χρησιμοποιούν ως κλειδιά τα domain ονόματα των C&C servers. Επίσης ένα από τα δύο κανάλια επικοινωνίας των μολυσμένων PC και των χειριστών του botnet είναι το Kad P2P δίκτυο, ενώ σε προηγούμενες περιπτώσεις χρησιμοποιούσαν ιδιωτικά (κλειστά) δίκτυα P2P. Η χρήση του δημόσιου P2P τους προστατεύει από τους κινδύνους της απενεργοποίησης του botnet.
“Όποια προσπάθεια και αν γίνει για να απενεργοποιηθούν οι C&C, μπορεί αποτελεσματικά να αντιμετωπιστεί με την ανανέωση της λίστα των C&C μέσω του P2P δικτύου”, εξηγεί ο Schouwenberg.

“Το γεγονός πως το TDL-4 έχει δύο κανάλια επικοινωνίας θα κάνει πολύ-πολύ δύσκολη την απενεργοποίηση του.”Το TDL-4, συνδυάζοντας το rootkit, την κρυπτογράφηση, τα κανάλια επικοινωνίας μέσω p2p, καθώς και την δυνατότητα να απενεργοποιήσει άλλο κακόβουλο λογισμικό όπως το Zeus, καθίσταται τρομακτικά ανθεκτικό.
“Το ΤDL είναι μία επιχείρηση και ο στόχος του είναι να μένει όσο γίνεται περισσότερο μέσα στον υπολογιστή”, δηλώνει ο Joe Stewart.
O Joe Stewart υπογραμμίζει επιπλέον την σημασία της δυνατότητας που έχει το TDL-4 να απενεργοποιεί άλλα κακόβουλα λογισμικά, η ύπαρξη των οποίων καθιστά πιο ύποπτο έναν υπολογιστή.

Η αποστολή ενός botnet όπως το TDL-4 είναι η εγκατάσταση ξένου λογισμικού στον υπολογιστή, η ενοικίαση του σε τρίτους, η διενέργεια επιθέσεων DDoS και η χρήση του για spammign και phishing.

Πηγή: Computerworld και Techspot

Posted By: leo
Last Edit: 26 Mar 2013 @ 00:15

EmailPermalink
Tags
Tags: , , ,
Categories: Security


 

Responses to this post » (None)

 

Sorry, but comments are closed. Check out another post and speak up!

Tags
Comment Meta:
RSS Feed for comments

 Last 50 Posts
 Back
Change Theme...
  • Users » 1
  • Posts/Pages » 73
  • Comments » 0
Change Theme...
  • VoidVoid
  • LifeLife
  • EarthEarth
  • WindWind
  • WaterWater « Default
  • FireFire
  • LightLight

Airplay



    No Child Pages.

Projects



    No Child Pages.

Portfolio



    No Child Pages.

Wall



    No Child Pages.

NetSurfer Browser



    No Child Pages.

Portfolio 2 Columns



    No Child Pages.

Portfolio 3 Columns



    No Child Pages.