Как вирусописатели сами себя перехитрили

Разработчики одного из вариантов вредоносного инструмента Zeus так активно старались превзойти вирусных аналитиков и защитить от них свое творение, что нарушили нормальную работоспособность самого троянского коня.



Производители антивирусных решений все чаще полагаются на автоматизированные системы и технологии виртуализации при обработке потока вредоносного программного обеспечения, поскольку иначе они с упомянутым потоком просто не справятся; вирусописатели об этом прекрасно осведомлены и нередко встраивают в свои разработки различные детекторы виртуальных машин и средства противодействия отладчикам. Это затрудняет работу аналитиков, и на анализ вируса вкупе с подготовкой и выпуском обновлений баз уходит больше времени и ресурсов.


Создатели различных вариантов Zeus тоже довольно часто включаются в подобную борьбу со специалистами по безопасности. Попыталась это сделать и некая группа злоумышленников, недавно выпустившая в свет свой новый "шедевр".


"Шедевр", действительно, по-своему уникален и неповторим именно благодаря встроенному детектору отладчиков. Тот настолько агрессивен, что принимает за исследовательскую среду любой компьютер, частота процессора которого составляет менее 2 ГГц. Если значение этого параметра выше, вредоносная программа запускается и работает своим обычным образом; если ниже - активируются процедуры защиты от отладки, исполнение кода прерывается, и операционная система не инфицируется. Аналитики F-Secure, обнаружившие этот образец, подтвердили, что при тестовом запуске программы на ноутбуке IBM T42 с ЦП 1,86 ГГц заражения не произошло.


С учетом специализации Zeus "шедевр", вероятнее всего, окажется для своих создателей практически бесполезен. Впрочем, злоумышленники могут попытаться соорудить ботнет премиум-класса для подбора паролей или других ресурсоемких задач, коль скоро их программа поражает исключительно высокопроизводительные персональные компьютеры.


Подробные сведения об этом варианте Zeus доступны в блоге F-Secure.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Эксперты нашли способ запустить вредонос на выключенном iPhone

Исследователи проанализировали функцию «Найти iPhone» (Find My iPhone) на iOS и нашли новый вектор атаки, позволяющий взаимодействовать с прошивкой и загружать вредоносные программы в Bluetooth-чип. Атака сработает даже в том случае, если iPhone выключен.

Продемонстрированный экспертами метод опирается на принцип работы чипов, отвечающих за беспроводную передачу данных (Bluetooth, NFC, UWB): они продолжают функционировать даже в том случае, если устройство на iOS выключено.

Такой принцип реализован именно для корректной работы функций вроде «Найти iPhone». При этом у всех трёх проанализированных чипов есть прямой доступ к безопасному элементу (SE), объясняют эксперты Secure Mobile Networking Lab в отчёте (PDF).

«Bluetooth- и UWB-чипы подключены к Secure Element (SE) в чипе NFC. А там, между прочим, хранятся секреты, которые должны быть доступны в режиме низкого энергопотребления (LPM). Поскольку поддержка LPM реализована на аппаратном уровне, её нельзя изменить софтовыми компонентами».

«В результате на современных iPhone подобные чипы будут функционировать даже после того, как пользователь выключит смартфон. Такое поведение создаёт дополнительные риски».

 

Подробнее о найденном векторе атаки исследователи планируют рассказать на мероприятии ACM Conference on Security and Privacy in Wireless and Mobile Networks (WiSec 2022), которое пройдёт на этой неделе. Но уже сейчас известен принцип: специалисты нашли способ изменить поток LPM-приложения и внедрить вредонос.

Команда исследователей считает, что Apple разрабатывала завязанные на LPM функции, не учитывая риски, а держа в уме исключительно наращивание функциональности.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru