4rward

Трояны научились используют механизм закачки Windows Update

В этой теме 18 сообщений

Хакеры используют систему закачки Windows Update для обхода файрволов, сообщает Symantec.

Background Intelligent Transfer Service (BITS) используется операционными системами Microsoft для закачки файлов в системе Windows Update. Система BITS, впервые появившаяся в Windows XP, так же прижилась и в Windows Server 2003 и в Windows Vista - асинхронная передача файлов с автоматическим подбором скорости передачи очень удобна для пользователей, так как не влияет на остальные сетевые соединения. Кроме того она же автоматически докачивает обновления в случае нарушения связи.

"Это очень удобный инструмент, а если вы учтете поддержку HTTP и программирование при помощи COM API, то практически идеальный компонент Windows для закачки всего, что вы захотите", - говорит исследователь Symantec. "К сожалению, и для закачки вредоносных файлов".

Компонент BITS очень удобен для создателей троянов и вирусов - например для загрузки дополнительного кода в уже зараженный компьютер: "По одной простой причине - BITS часть операционной системы, так что он легко обходит локальные файрволы для загрузки файлов". "Это новинка", - добавляет один из директоров антивирусной фирмы, "Атакующие используют компонент операционной системы для апдейта своих программ. BITS дает им простой и надежный механизм закачки. И им не нужно уже писать свой собственный".

Такая техника обхода файрвола была впервые замечена Symantec на одном из русских форумов в конце прошлого года, первые трояны с использованием BITS были зарегистрированы в массовой рассылке в Марте. В настоящее время надежного пути решения проблемы нет - не просто указать BITS что следует качать, а что нет, замечают исследователи. "Возможно следует ограничить доступ к BITS только высшим уровнем привилегий, или определить доверенные адреса с которыми он может работать".

P.S.Опять русские впереди ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Не назвал бы это новостью. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

> ... была впервые замечена ... в конце прошлого года...

Была замечена летом прошлого года, так что действительно боян :-)

Кстати, интересно, кто как с этим борется?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
> ... была впервые замечена ... в конце прошлого года...

Была замечена летом прошлого года, так что действительно боян :-)

Кстати, интересно, кто как с этим борется?

А как с этим борется ЛК? =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А как с этим борется ЛК?

А причем тут ЛК? Обновления MS уже выпустила, имхо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А как с этим борется ЛК?

А причем тут ЛК? Обновления MS уже выпустила, имхо.

Какое обновление? У BITS есть совершенно официальный набор команд для совершенно законного создания задач на скачивание. Скачивание происходит от имени svchost. Таким образом получаем встроенный в ОС даунлоадер троянов с функцией обхода фаерволлов =) Как это можно фиксить? Отменить вообще возможность создания задач для BITS? Вряд ли Microsoft это сделает...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А почему BITS позволяет что-то качать с хостов не принадлежащих MS?

Понятно, что злоумышенник врят ли сможет положить что-то на сервера windowsupdate.microsoft.com. Если бы был некий белый список, то загрузить что-либо вредоносное было бы проблематично уже.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я лично сервис битс и автоматическое обновление отключаю. Включаю только когда MS что-либо выпустила, качаю, потом снова в отруб.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А почему BITS позволяет что-то качать с хостов не принадлежащих MS?

Понятно, что злоумышенник врят ли сможет положить что-то на сервера windowsupdate.microsoft.com. Если бы был некий белый список, то загрузить что-либо вредоносное было бы проблематично уже.

так обходиться всеравно элементарно - в hosts прописывается свой IP на который и резолвится windowsupdate.microsoft.com

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А почему BITS позволяет что-то качать с хостов не принадлежащих MS?

Понятно, что злоумышенник врят ли сможет положить что-то на сервера windowsupdate.microsoft.com. Если бы был некий белый список, то загрузить что-либо вредоносное было бы проблематично уже.

так обходиться всеравно элементарно - в hosts прописывается свой IP на который и резолвится windowsupdate.microsoft.com

У некоторых антивирусов есть такой компонент - "Проактивная защита"

;););)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
У некоторых антивирусов есть такой компонент - "Проактивная защита"

;););)

вы неповерите, но у некоторых антивирусов есть другая компонента - реалтайм защита, которая и должна обеспечивать ловлю скачанных троянов.

и предлагаю подумать на досуге как отличить запись в hosts заведенную трояном и заведенную руками (ну надо мне что-то внести руками)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
и предлагаю подумать на досуге как отличить запись в hosts заведенную трояном и заведенную руками (ну надо мне что-то внести руками)

Отличие очень простое. На вопрос "Ты правда хочешь добавить эту строчку?" юзер ответит "Да", а троян промолчит =) Ну... не любой троян правда =))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
и предлагаю подумать на досуге как отличить запись в hosts заведенную трояном и заведенную руками (ну надо мне что-то внести руками)

Отличие очень простое. На вопрос "Ты правда хочешь добавить эту строчку?" юзер ответит "Да", а троян промолчит =) Ну... не любой троян правда =))

осталось объяснить как нажать нужную кнопку скрипту.

P.S. и 99% юзеров начмут че-нить не читая, как это обычно и происходит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
P.S. и 99% юзеров начмут че-нить не читая, как это обычно и происходит.

А 1% прочитает. Уже не бессмысленно. Особенно учитывая тот факт, что лично я себя отношу именно к этому 1%. Так что хорошая добавка к простым сигнатурам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

У некоторых антивирусов есть такой компонент - "Проактивная защита"

;););)

вы неповерите, но у некоторых антивирусов есть другая компонента - реалтайм защита, которая и должна обеспечивать ловлю скачанных троянов.

и предлагаю подумать на досуге как отличить запись в hosts заведенную трояном и заведенную руками (ну надо мне что-то внести руками)

Отличать нужно на этапе правки.

Имхо, самый лучший метод - отслеживать, кто обращается к файлу и блокировать или разрешать доступ - в зависимости от того, кто к нему обращается.

Лучше всего, разрешать править только Админу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Лучше всего, разрешать править только Админу.

расскажите это M$ которая дефолтной учеткой в ХП делает админа как раз.

А 1% прочитает. Уже не бессмысленно. Особенно учитывая тот факт, что лично я себя отношу именно к этому 1%. Так что хорошая добавка к простым сигнатурам.

вопрос тем не менее со скриптами и рулением удаленно через AD например остается открытым.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А вирус у вас под гостем хост править будет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Лучше всего, разрешать править только Админу.

Так это и сама винда делает. Но файл, запущенный админом, получает права админа. Даже если этот файл - троян =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • DisaGlass
      Хочу чтобы на открытых парковках сделали навесы для защиты от осадков. Кто за?    Конструкции из алюминия и стекла на заказ
    • Сергей Ильин
      Каждую минуту создается несколько десятков новых образцов малвари. Чтобы она попало в облачную базу репутации нужно: 1. Чтобы антивирусу они попались (обеспечить охват близкого к 100% парка машин) 2. Чтобы антивирус опознал их как вредосносные сразу.   п 1 нереален сразу. Поэтому шансы сильно снижаются изначально. п 2 тоже работает с определенной вероятностью. В большинстве случаев должна накопиться статистика по обнаружению конкретного файла в сети, что он делал, как распространялся и тп. Если статистики нет - репутации тоже нет. Файл попадает "в серую зону". Кроме этого сейчас тренд идет к тому, что вредонос рассылается только один раз конкретному человеку. Больше его ни у кого не будет в природе. Поэтому какая уж тут репутация ...
    • ViktorFazz
      Я с вами согласен, это еще нужно уметь, а еще нужно найти хорошую работу в сети. Но мне кажется лучше ходить на нормальную работу, а в интернете просто иметь дополнительный заработок. Я работаю админом в гостинице, при этом еще увлекаюсь ставками на спорт, так я имею в месяц еще несколько тысяч практически и ничего. Смотрю прогнозы на спорт тут - http://betrating.ru/
    • olejah
      В одной из прошлых статей мы обсуждали, как настроить собственный honeypot, теперь же попытаемся рассмотреть, как злоумышленники пытаются обойти эти ловушки, какие трюки они используют при серфинге и как вы можете стать жертвой honeypot в сети. Наконец, мы поговорим о том, как системные администраторы предприятий справляются с поддельными точками доступа, размещенными в сети предприятия, целью которых является кража конфиденциальных данных. https://www.anti-malware.ru/analytics/Threats_Analysis/How-Hackers-Avoid-Honeypots
    • AM_Bot
      Леонид Ухлинов, вице-президент и исполнительный директор компании «Информзащита», поделился своим экспертным мнением с читателями Anti-Malware.ru и рассказал, как компания из-за небольшой оплошности может потерять миллионы долларов, чего ожидать бизнесу в эпоху цифровизации и кто в первую очередь станет мишенью для киберпреступников. Это интервью продолжает цикл публикаций «Индустрия в лицах». Читать далее