SecureWorks: ботнет прячет инструкции в картинки

Александр Панасенко 02 Октября 2009 - 14:10

...

Специалисты SecureWorks обнаружили ботнет, который маскирует инструкции от контролирующего центра под JPEG-файлы. По заявлениям специалистов, эта маскировка под картинки далеко не совершенна, поэтому она вполне поддаётся "вычислению" защитными средствами.

Речь идёт о троянской программе, которую в SecureWorks называют Monkif/DlKhora. Основное назначение этого трояна заключается в загрузке на зараженный компьютер других программ и их последующем запуске. Кроме того, Monkif пытается отключать установленные на компьютере антивирусную защиту и файрвол.

Специалисты отмечают, что особый интерес представляет схема взаимодействия этого загрузочного трояна с контролирующим центром. Инструкции от него приходят в таком виде, словно это HTTP-сервер, возвращающий изображение в формате JPEG по запросу клиентской машины. В частности, они сопровождаются HTTP-заголовком с "Content-Type: image/jpeg", а также 32-байтным JPEG-заголовком. Бот мониторит входящий трафик. Распознает такой заголовок, и затем декодирует оставшуюся часть сообщения.

Впрочем, как говорят в SecureWorks, несмотря на то, что задумана эта схема с некоторой долей фантазии, реализована она довольно топорно. Так, инструкции кодируются весьма примитивно: "исключающее или" с фиксированным однобайтовым ключом. Маскировка под картинку тоже является неидеальной. Даже данные о размере изображения в поддельном JPEG-заголовке не соответствуют самому "изображению"-инструкции. Все это может быть использовано специалистами для отлавливания таких инструкций в общем трафике.

источник

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Олег Иванов 21 Марта 2019 - 18:24

Соответствие законодательству РФ Государство

Специалисты опасаются негативного влияния суверенного Рунета на IoT

Эксперты области опасаются, что закон о суверенном Рунете может в какой-то мере затормозить развитие в России интернета вещей (Internet of Things, IoT). В частности, было высказано мнение, что решениям для умного города, промышленной и транспортной отрасли могут повредить задержки передачи данных.

Возможные проблемы волнуют представителей Ассоциации участников рынка интернета вещей, среди которых такие крупные компании, как «Ростелеком», МТС, «ЭР-Телеком» и МТТ.

Специалисты полагают, что реализация законопроекта в его текущем виде неизбежно повлечет за собой задержки передачи пакетов, которые должны принимать IoT-устройства.

Если речь идет об умных городах, здесь действительно любые задержки могут оказаться критическими.

Как пояснил сотрудник МТС Алексей Меркутов, слова которого приводит издание «Ъ», проект в нынешнем виде подразумевает ограничение доступа к запрещенным ресурсам путем контроля содержимого трафика, за который будет отвечать специальное оборудование, установленное у операторов.

«Это может повлечь технические сбои и деградацию качества услуг, в том числе для устройств IoT, что может негативно отразиться и на проектах "умных городов"», — объясняет Меркутов.

Авторы инициативы заявили о готовности рассмотреть предлагаемые уточнения к законопроекту.