Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах
IDG  •  PC World  •  Computerworld  •  CIO  •  CFO  •  Networkworld  •  Дискусии  •  Кариерна зона  •  Събития
COMPUTERWORLD | Киберсигурност
05 май
2017
 
 

Кибер престъпници се възползват от функция за съвместимост на Windows

2904 прочитания

Когато Microsoft позволи на компаниите бързо да разрешават несъвместимости между своите приложения и новите версии на Windows, тя нямаше за цел да помага на кибер престъпниците. Сега обаче тази функция е обект на злоупотреби с цел незабелязани и устойчиви заплахи (persistent threats).

Т.нар. Windows Application Compatibility Infrastructure позволява на организациите да разработват поправки, наречени шимове (shims). Те се състоят от библиотеки, стоящи между приложенията и операционната система, които пренаписват заявките към приложно-програмния интерфейс и други атрибути, така че софтуерът да работи добре под по-нови версии на Windows.

Прочетете още: Фишинг атака в Gmail заблуждава с фалшиво приложение Google Docs

Шимовете представляват временни решения, които позволяват старите програми да продължават да бъдат използвани, дори след като Microsoft променят работата на Windows. Те могат да бъдат инсталирани на компютрите чрез правилата на т.нар. групова политика, зареждат се заедно със стартирането на даденото приложение и са задължителни за изпълнение.

Специалисти по ИТ сигурност вече са предупреждавали, че тази функционалност може да бъде използвана за инжектиране на зловреден код в други процеси. Анализаторите от компанията FireEye споделят, че са виждали как тази техника се използва от финансово мотивирани престъпници, познати като FIN7 или Carbanak. От 2015 г. групата си е присвоила между 500 млн. и 1 млрд. долара от стотици финансови организации по целия свят.

Напоследък FIN7 са разнообразили своите цели, като през март са започнали насочена фишинг атака, насочена към служители на компании от различни сектори, подаващи заявки към Комисията по ценните книжа и борсите на САЩ, включително финансови услуги, транспорт, търговия, образование, ИТ услуги и електроника.

При по-скорошна атака пък групата е използвала скрипт за PowerShell, за да регистрира мошенически шимове за services.exe – легитимен процес в Windows. Това гарантира, че зловредният код се изпълнява при всяко стартиране на операционната система. Благодарение на него се създава възможност за таен достъп до процеса Windows Service Host (svchost.exe).

FIN7 са използвали същата техника за инсталиране на инструмент за събиране на данни за платежни карти от компрометираните системи. В тази атака фалшивият шим е бил маскиран като ъпдейт за Windows, използвайки описанието: „Microsoft KB2832077“. Този идентификатор не съответства на легитимен пач от Microsoft Knowledge Base. Т.е. ако бъде открит в системния регистър или в списъка с инсталирани програми, това е знак че компютърът е компрометиран от FIN7.

За засичане на такива атаки анализаторите от FireEye препоръчват наблюдаване на файловете в директориите съдържащи шимове, следене за промени в регистрационните ключове, свързани с шимовите бази данни, както и наблюдаване на процесите, изпращащи заявки до sdbinst.exe.

НАЙ-НОВИ НАЙ-ЧЕТЕНИ ПРЕПОРЪЧАНИ
Фирмите представят

Слайдшоу
ИНТЕРВЮ
Само за 6 месеца инициативата Vue Vixens е обучила над 400 жениСамо за 6 месеца инициативата Vue Vixens е обучила над 400 жени

Интервю с Джен Лупър, старши developer advocate в Progress и основател на Vue Vixens, лектор на конференцията DevReach 2018

ПРИЛОЖЕНИЯ
АНКЕТА

Какво мислите за FireFox OS?

Информация за Вас