9 Μαΐ 2017

Microsoft: προειδοποίηση για πειραγμένα updaters λογισμικού

Microsoft: προειδοποίηση για πειραγμένα updaters λογισμικού

Η εκστρατεία κατασκοπείας, που ονομάστηκε WilySupply από τη Microsoft, είναι πιθανό να έχει οικονομικά κίνητρα και στοχεύει τα updaters για να προσεγγίσει κυρίως εταιρείες χρηματοδότησης και πληρωμών.

Σε αυτή την περίπτωση, χρησιμοποίησαν το updater για να εγκαταστήσουν ένα “μη υπογεγραμμένο εκτελέσιμο αρχείο χαμηλού επιπολασμού” για να σαρώνουν το δίκτυο του θύματος εγκαθιστώντας απομακρυσμένη πρόσβαση.

Μια τέτοια επίθεση στη διαδικασία ενημέρωσης ενός αξιόπιστου λογισμικού είναι μια έξυπνη πλευρική θύρα για τους εισβολείς, καθώς οι χρήστες χρησιμοποιούν τον μηχανισμό για να λαμβάνουν έγκυρες ενημερώσεις.

Η Microsoft σημειώνει ότι η ίδια τεχνική έχει χρησιμοποιηθεί σε διάφορες επιθέσεις, όπως τις παραβιάσεις που έγιναν σε εταιρείες της Νότιας Κορέας το 2013 μέσω μιας κακόβουλης έκδοσης ενός εγκαταστάτη της SimDisk.

Οι επιτιθέμενοι φέρεται να χρησιμοποιούν δωρεάν εργαλεία ανοιχτού κώδικα, όπως το Evil Grade, το οποίο βοηθά στο exploiting ελαττωματικών εφαρμογών ενημέρωσης για την εισαγωγή ψεύτικων ενημερώσεων. Όπως σημειώνει η Microsoft, το WilySupply έκανε ακριβώς αυτό, προστατεύοντας την ταυτότητα των επιτιθέμενων.

Το άλλο εργαλείο που χρησιμοποίησαν οι επιτιθέμενοι ήταν το Meterpreter, το συστατικό της μνήμης του Metaplsoit framework.

Το εκτελέσιμο αρχείο κατέληξε να είναι ένα κακόβουλο δυαδικό αρχείο που τρέχει PowerShell scripts με το Meterpreter reverse shell, το οποίο χορήγησε σιωπηλά απομακρυσμένο έλεγχο στον εισβολέα. Το δυαδικό (binary) εντοπίστηκε από τη Microsoft σαν “Rivit.”

“Χρησιμοποιώντας τις προβολές χρονικής γραμμής και των δέντρων επεξεργασίας στην κονσόλα ATP του Windows Defender, κατορθώσαμε να εντοπίσουμε τη διαδικασία που ήταν υπεύθυνη για τις κακόβουλες δραστηριότητες και να επισημάνουμε με ακρίβεια την εμφάνισή τους. Εντοπίσαμε αυτές τις δραστηριότητες σε έναν updater ενός λογισμικού επεξεργασίας”, αναφέρει η Microsoft.

“Η forensic εξέταση του φακέλου Temp στο μολυσμένο μηχάνημα, μας έδειξε έναν νόμιμο updater τρίτων να τρέχει ως υπηρεσία.” Το updater κατέβασε ένα ανυπόγραφο εκτελέσιμο αρχείο χαμηλού επιπολασμού (low-prevalence) πριν παρατηρηθεί η κακόβουλη δραστηριότητα.

Εάν σας άρεσε μην ξεχνάτε να κάνετε μια κοινοποίηση!


Greece

1σχόλια:

Microsoft: προειδοποίηση για πειραγμένα updaters λογισμικού
Ενθαρρύνονται τα σχόλια. πατήστε στο (Δημοσίευση σχολίου) και ανοίγει παράθυρο .

Δεν θα με ξαφνιάσει καθόλου αν στη συνέχεια αυτής της ιστορίας αποδειχθεί ότι κάποια από αυτά τα πειραγμένα updaters απενεργοποιούσαν τα πειραγμένα updaters της microsoft.

+ footer Back to top
LIKE ΓΙΑ ΝΑ ΒΛΕΠΕΙΣ ΑΠΟ ΤΟ FACEBOOK TA POST........
ΣΤΗΝ ΝΕΑ ΣΕΛΙΔΑ ΜΑΣ 2 - ΠΡΟΣΟΧΗ ΜΟΝΟ ΤΗΝ ΠΡΩΤΗ ΦΟΡΑ ΑΝΟΙΓΕΙ ΑΥΤΟ!(η συμμετοχή σας απαραίτητη για την συνέχεια.......)
Η ΣΕΛΙΔΑ ΑΥΤΗ ΔΕΝ ΕΧΕΙ ΚΑΜΙΑ ΣΧΕΣΗ ΜΕ ΣΥΝΗΘΙΣΜΕΝΕΣ!

.Οσοι θέλουν πάνε στο facebook,(στο μενού πάνω) αν εχουν πατήσει like στην σελίδα μας.Και πατουν να εμφανίζονται πρώτα Δείτε νέες δημοσιεύσεις από αυτή την σελίδα, γιατι μας κάνουν παράπονα οτι δεν βλέπουν τα post (κλείστε με close).
notification

Έγγραφείτε στις ενημερώσεις Push Notifications