4rward

Трояны научились используют механизм закачки Windows Update

В этой теме 18 сообщений

Хакеры используют систему закачки Windows Update для обхода файрволов, сообщает Symantec.

Background Intelligent Transfer Service (BITS) используется операционными системами Microsoft для закачки файлов в системе Windows Update. Система BITS, впервые появившаяся в Windows XP, так же прижилась и в Windows Server 2003 и в Windows Vista - асинхронная передача файлов с автоматическим подбором скорости передачи очень удобна для пользователей, так как не влияет на остальные сетевые соединения. Кроме того она же автоматически докачивает обновления в случае нарушения связи.

"Это очень удобный инструмент, а если вы учтете поддержку HTTP и программирование при помощи COM API, то практически идеальный компонент Windows для закачки всего, что вы захотите", - говорит исследователь Symantec. "К сожалению, и для закачки вредоносных файлов".

Компонент BITS очень удобен для создателей троянов и вирусов - например для загрузки дополнительного кода в уже зараженный компьютер: "По одной простой причине - BITS часть операционной системы, так что он легко обходит локальные файрволы для загрузки файлов". "Это новинка", - добавляет один из директоров антивирусной фирмы, "Атакующие используют компонент операционной системы для апдейта своих программ. BITS дает им простой и надежный механизм закачки. И им не нужно уже писать свой собственный".

Такая техника обхода файрвола была впервые замечена Symantec на одном из русских форумов в конце прошлого года, первые трояны с использованием BITS были зарегистрированы в массовой рассылке в Марте. В настоящее время надежного пути решения проблемы нет - не просто указать BITS что следует качать, а что нет, замечают исследователи. "Возможно следует ограничить доступ к BITS только высшим уровнем привилегий, или определить доверенные адреса с которыми он может работать".

P.S.Опять русские впереди ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Не назвал бы это новостью. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

> ... была впервые замечена ... в конце прошлого года...

Была замечена летом прошлого года, так что действительно боян :-)

Кстати, интересно, кто как с этим борется?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
> ... была впервые замечена ... в конце прошлого года...

Была замечена летом прошлого года, так что действительно боян :-)

Кстати, интересно, кто как с этим борется?

А как с этим борется ЛК? =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А как с этим борется ЛК?

А причем тут ЛК? Обновления MS уже выпустила, имхо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А как с этим борется ЛК?

А причем тут ЛК? Обновления MS уже выпустила, имхо.

Какое обновление? У BITS есть совершенно официальный набор команд для совершенно законного создания задач на скачивание. Скачивание происходит от имени svchost. Таким образом получаем встроенный в ОС даунлоадер троянов с функцией обхода фаерволлов =) Как это можно фиксить? Отменить вообще возможность создания задач для BITS? Вряд ли Microsoft это сделает...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А почему BITS позволяет что-то качать с хостов не принадлежащих MS?

Понятно, что злоумышенник врят ли сможет положить что-то на сервера windowsupdate.microsoft.com. Если бы был некий белый список, то загрузить что-либо вредоносное было бы проблематично уже.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я лично сервис битс и автоматическое обновление отключаю. Включаю только когда MS что-либо выпустила, качаю, потом снова в отруб.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А почему BITS позволяет что-то качать с хостов не принадлежащих MS?

Понятно, что злоумышенник врят ли сможет положить что-то на сервера windowsupdate.microsoft.com. Если бы был некий белый список, то загрузить что-либо вредоносное было бы проблематично уже.

так обходиться всеравно элементарно - в hosts прописывается свой IP на который и резолвится windowsupdate.microsoft.com

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А почему BITS позволяет что-то качать с хостов не принадлежащих MS?

Понятно, что злоумышенник врят ли сможет положить что-то на сервера windowsupdate.microsoft.com. Если бы был некий белый список, то загрузить что-либо вредоносное было бы проблематично уже.

так обходиться всеравно элементарно - в hosts прописывается свой IP на который и резолвится windowsupdate.microsoft.com

У некоторых антивирусов есть такой компонент - "Проактивная защита"

;););)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
У некоторых антивирусов есть такой компонент - "Проактивная защита"

;););)

вы неповерите, но у некоторых антивирусов есть другая компонента - реалтайм защита, которая и должна обеспечивать ловлю скачанных троянов.

и предлагаю подумать на досуге как отличить запись в hosts заведенную трояном и заведенную руками (ну надо мне что-то внести руками)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
и предлагаю подумать на досуге как отличить запись в hosts заведенную трояном и заведенную руками (ну надо мне что-то внести руками)

Отличие очень простое. На вопрос "Ты правда хочешь добавить эту строчку?" юзер ответит "Да", а троян промолчит =) Ну... не любой троян правда =))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
и предлагаю подумать на досуге как отличить запись в hosts заведенную трояном и заведенную руками (ну надо мне что-то внести руками)

Отличие очень простое. На вопрос "Ты правда хочешь добавить эту строчку?" юзер ответит "Да", а троян промолчит =) Ну... не любой троян правда =))

осталось объяснить как нажать нужную кнопку скрипту.

P.S. и 99% юзеров начмут че-нить не читая, как это обычно и происходит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
P.S. и 99% юзеров начмут че-нить не читая, как это обычно и происходит.

А 1% прочитает. Уже не бессмысленно. Особенно учитывая тот факт, что лично я себя отношу именно к этому 1%. Так что хорошая добавка к простым сигнатурам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

У некоторых антивирусов есть такой компонент - "Проактивная защита"

;););)

вы неповерите, но у некоторых антивирусов есть другая компонента - реалтайм защита, которая и должна обеспечивать ловлю скачанных троянов.

и предлагаю подумать на досуге как отличить запись в hosts заведенную трояном и заведенную руками (ну надо мне что-то внести руками)

Отличать нужно на этапе правки.

Имхо, самый лучший метод - отслеживать, кто обращается к файлу и блокировать или разрешать доступ - в зависимости от того, кто к нему обращается.

Лучше всего, разрешать править только Админу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Лучше всего, разрешать править только Админу.

расскажите это M$ которая дефолтной учеткой в ХП делает админа как раз.

А 1% прочитает. Уже не бессмысленно. Особенно учитывая тот факт, что лично я себя отношу именно к этому 1%. Так что хорошая добавка к простым сигнатурам.

вопрос тем не менее со скриптами и рулением удаленно через AD например остается открытым.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А вирус у вас под гостем хост править будет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Лучше всего, разрешать править только Админу.

Так это и сама винда делает. Но файл, запущенный админом, получает права админа. Даже если этот файл - троян =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • fafa
      А что это совсем за аппарат массунг? Как мне кажется, то любые аппараты совсем являются ремонтируемыми. А все зависит только от того в какую фирму понесете. Так, что все реально сделать в наше время, были бы деньги только.
    • fafa
      Если есть совсем мало места, то почему же не ставить. Если посмотреть, то ни какой вариант с ванной ни как не спасает нас, так как места займет она точно больше, в наше время это решает. Для моей квартиры в 60 квадратов так тем более.
    • Wenderoy
      Скачать Kuranin Anti-Ransomware можно здесь: http://kuranin.ml/ Уникальный файлообменный сервис от Куранина Ильи для безопасного хранения файлов с возможностью шифрования методом AES-256 - https://kur.guru/ Все загружаемые данные хранятся на надежно защищенных нидерландских серверах и хранятся вечно!
    • P1rat
    • klubochek
      Подскажите подлежат ли ремонту смартфоны масунг? В пятницу забрала дочку со школы всю в слезах. В школе не стала уточнять что к чему, на простой вопрос что случилось – только слезы. Дома показывает мне свой телефон – экран разбит. Телефон не включается. Что произошло толком не рассказывает. Но это уже буду говорить с учителем. Самое обидное что это был ее долгожданный подарок. Подарили только на 8 марта. Если ремонт возможен , какая может быть его стоимость?