Перейти к содержанию
4rward

Трояны научились используют механизм закачки Windows Update

Recommended Posts

4rward

Хакеры используют систему закачки Windows Update для обхода файрволов, сообщает Symantec.

Background Intelligent Transfer Service (BITS) используется операционными системами Microsoft для закачки файлов в системе Windows Update. Система BITS, впервые появившаяся в Windows XP, так же прижилась и в Windows Server 2003 и в Windows Vista - асинхронная передача файлов с автоматическим подбором скорости передачи очень удобна для пользователей, так как не влияет на остальные сетевые соединения. Кроме того она же автоматически докачивает обновления в случае нарушения связи.

"Это очень удобный инструмент, а если вы учтете поддержку HTTP и программирование при помощи COM API, то практически идеальный компонент Windows для закачки всего, что вы захотите", - говорит исследователь Symantec. "К сожалению, и для закачки вредоносных файлов".

Компонент BITS очень удобен для создателей троянов и вирусов - например для загрузки дополнительного кода в уже зараженный компьютер: "По одной простой причине - BITS часть операционной системы, так что он легко обходит локальные файрволы для загрузки файлов". "Это новинка", - добавляет один из директоров антивирусной фирмы, "Атакующие используют компонент операционной системы для апдейта своих программ. BITS дает им простой и надежный механизм закачки. И им не нужно уже писать свой собственный".

Такая техника обхода файрвола была впервые замечена Symantec на одном из русских форумов в конце прошлого года, первые трояны с использованием BITS были зарегистрированы в массовой рассылке в Марте. В настоящее время надежного пути решения проблемы нет - не просто указать BITS что следует качать, а что нет, замечают исследователи. "Возможно следует ограничить доступ к BITS только высшим уровнем привилегий, или определить доверенные адреса с которыми он может работать".

P.S.Опять русские впереди ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Не назвал бы это новостью. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova

> ... была впервые замечена ... в конце прошлого года...

Была замечена летом прошлого года, так что действительно боян :-)

Кстати, интересно, кто как с этим борется?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
> ... была впервые замечена ... в конце прошлого года...

Была замечена летом прошлого года, так что действительно боян :-)

Кстати, интересно, кто как с этим борется?

А как с этим борется ЛК? =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat
А как с этим борется ЛК?

А причем тут ЛК? Обновления MS уже выпустила, имхо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
А как с этим борется ЛК?

А причем тут ЛК? Обновления MS уже выпустила, имхо.

Какое обновление? У BITS есть совершенно официальный набор команд для совершенно законного создания задач на скачивание. Скачивание происходит от имени svchost. Таким образом получаем встроенный в ОС даунлоадер троянов с функцией обхода фаерволлов =) Как это можно фиксить? Отменить вообще возможность создания задач для BITS? Вряд ли Microsoft это сделает...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

А почему BITS позволяет что-то качать с хостов не принадлежащих MS?

Понятно, что злоумышенник врят ли сможет положить что-то на сервера windowsupdate.microsoft.com. Если бы был некий белый список, то загрузить что-либо вредоносное было бы проблематично уже.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin

Я лично сервис битс и автоматическое обновление отключаю. Включаю только когда MS что-либо выпустила, качаю, потом снова в отруб.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Maxim
А почему BITS позволяет что-то качать с хостов не принадлежащих MS?

Понятно, что злоумышенник врят ли сможет положить что-то на сервера windowsupdate.microsoft.com. Если бы был некий белый список, то загрузить что-либо вредоносное было бы проблематично уже.

так обходиться всеравно элементарно - в hosts прописывается свой IP на который и резолвится windowsupdate.microsoft.com

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Maratka
А почему BITS позволяет что-то качать с хостов не принадлежащих MS?

Понятно, что злоумышенник врят ли сможет положить что-то на сервера windowsupdate.microsoft.com. Если бы был некий белый список, то загрузить что-либо вредоносное было бы проблематично уже.

так обходиться всеравно элементарно - в hosts прописывается свой IP на который и резолвится windowsupdate.microsoft.com

У некоторых антивирусов есть такой компонент - "Проактивная защита"

;););)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Maxim
У некоторых антивирусов есть такой компонент - "Проактивная защита"

;););)

вы неповерите, но у некоторых антивирусов есть другая компонента - реалтайм защита, которая и должна обеспечивать ловлю скачанных троянов.

и предлагаю подумать на досуге как отличить запись в hosts заведенную трояном и заведенную руками (ну надо мне что-то внести руками)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
и предлагаю подумать на досуге как отличить запись в hosts заведенную трояном и заведенную руками (ну надо мне что-то внести руками)

Отличие очень простое. На вопрос "Ты правда хочешь добавить эту строчку?" юзер ответит "Да", а троян промолчит =) Ну... не любой троян правда =))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Maxim
и предлагаю подумать на досуге как отличить запись в hosts заведенную трояном и заведенную руками (ну надо мне что-то внести руками)

Отличие очень простое. На вопрос "Ты правда хочешь добавить эту строчку?" юзер ответит "Да", а троян промолчит =) Ну... не любой троян правда =))

осталось объяснить как нажать нужную кнопку скрипту.

P.S. и 99% юзеров начмут че-нить не читая, как это обычно и происходит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
P.S. и 99% юзеров начмут че-нить не читая, как это обычно и происходит.

А 1% прочитает. Уже не бессмысленно. Особенно учитывая тот факт, что лично я себя отношу именно к этому 1%. Так что хорошая добавка к простым сигнатурам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
IT-Shark

У некоторых антивирусов есть такой компонент - "Проактивная защита"

;););)

вы неповерите, но у некоторых антивирусов есть другая компонента - реалтайм защита, которая и должна обеспечивать ловлю скачанных троянов.

и предлагаю подумать на досуге как отличить запись в hosts заведенную трояном и заведенную руками (ну надо мне что-то внести руками)

Отличать нужно на этапе правки.

Имхо, самый лучший метод - отслеживать, кто обращается к файлу и блокировать или разрешать доступ - в зависимости от того, кто к нему обращается.

Лучше всего, разрешать править только Админу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Maxim
Лучше всего, разрешать править только Админу.

расскажите это M$ которая дефолтной учеткой в ХП делает админа как раз.

А 1% прочитает. Уже не бессмысленно. Особенно учитывая тот факт, что лично я себя отношу именно к этому 1%. Так что хорошая добавка к простым сигнатурам.

вопрос тем не менее со скриптами и рулением удаленно через AD например остается открытым.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin

А вирус у вас под гостем хост править будет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
Лучше всего, разрешать править только Админу.

Так это и сама винда делает. Но файл, запущенный админом, получает права админа. Даже если этот файл - троян =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×