Компания «Доктор Веб» обнаружила бэкдор, устанавливающий на атакуемый компьютер в целях шпионажа легальные компоненты TeamViewer. Троянец, получивший наименование BackDoor.TeamViewerENT.1, имеет самоназвание Spy-Agent (так называется административный интерфейс его системы управления).
Злоумышленники развивают этих троянцев с 2011 года и регулярно выпускают их новые версии. Об одной из них мы и расскажем в этом материале.
Как и схожий с ним по архитектуре троянец BackDoor.TeamViewer.49, этот бэкдор состоит из нескольких модулей. Однако если предшественник задействовал компоненты популярной программы удаленного администрирования компьютера TeamViewer только для того, чтобы загрузить в память атакуемой машины вредоносную библиотеку, то BackDoor.TeamViewerENT.1 использует их именно для шпионажа,
Основные вредоносные функции троянца сосредоточены в библиотеке avicap32.dll, а параметры его работы хранятся в зашифрованном конфигурационном блоке. Помимо специально созданной злоумышленниками вредоносной библиотеки троянец сохраняет на диск атакуемой машины необходимые для работы программы TeamViewer файлы и папки, а также несколько дополнительных файлов-модулей.
Если приложение в ОС Microsoft Windows требует для своей работы загрузку динамической библиотеки, система сначала пытается найти файл с таким именем в той же папке, откуда была запущена программа, и лишь потом — в системных папках Windows. Этим и воспользовались вирусописатели: приложению TeamViewer действительно необходима стандартная библиотека avicap32.dll, которая по умолчанию хранится в одной из системных директорий Windows. Но троянец сохраняет вредоносную библиотеку с таким же именем прямо в папку с легитимным исполняемым файлом TeamViewer, в результате чего система загружает в память троянскую библиотеку вместо настоящей.
После запуска BackDoor.TeamViewerENT.1 отключает показ ошибок для процесса TeamViewer, устанавливает атрибуты «системный», «скрытый» и «только для чтения» своим собственным файлам и файлам этой программы, а затем перехватывает в памяти процесса TeamViewer вызовы функций этого приложения и ряда системных функций. Если для нормальной работы TeamViewer на атакованном компьютере не хватает каких-либо файлов или компонентов, троянец скачивает их со своего управляющего сервера. Помимо этого, если BackDoor.TeamViewerENT.1обнаруживает попытку запуска программ «Диспетчер задач Windows» и Process Explorer, он завершает работу процесса TeamViewer на зараженной машине. Подключившись к управляющему серверу, бэкдор может выполнять следующие команды злоумышленников:
перезагрузить ПК;
выключить ПК;
удалить TeamViewer;
перезапустить TeamViewer;
начать прослушивание звука с микрофона;
завершить прослушивание звука с микрофона;
определить наличие веб-камеры;
начать просмотр через веб-камеру;
завершить просмотр через веб-камеру;
скачать файл, сохранить его во временную папку и запустить;
обновить конфигурационный файл или файл бэкдора;
подключиться к указанному удаленному узлу, после чего запустить cmd.exe с перенаправлением ввода-вывода на удаленный хост.
Очевидно, что эти команды открывают перед злоумышленниками широкие возможности для шпионажа за пользователями инфицированных компьютеров, включая похищение конфиденциальной информации. В частности, известно, что с помощью этого троянца киберпреступники устанавливали на инфицированные компьютеры вредоносные программы семейств Trojan.Keylogger и Trojan.PWS.Stealer. Вирусные аналитики компании «Доктор Веб» провели исследование, в ходе которого удалось выяснить, что злоумышленники в разное время атакуют в основном жителей ряда определенных стран и регионов. Так, в июле с использованием BackDoor.TeamViewerENT.1 киберпреступники атаковали жителей Европы, среди которых больше всего насчитывалось резидентов Великобритании и Испании, а в августе переключились на резидентов США.
Группа компаний InfoWatch представила обновление InfoWatch ARMA Management Console 2.0 — централизованной системы управления решениями линейки InfoWatch ARMA, предназначенными для сетевой безопасности и защиты АСУ ТП. Новая версия делает администрирование инфраструктуры проще и позволяет быстрее выполнять типовые задачи.
Главное изменение — улучшенная работа с межсетевыми экранами нового поколения InfoWatch ARMA Стена (NGFW).
Теперь несколько устройств можно объединять в группы и применять к ним общие операции, например массовую установку или обновление конфигураций.
Появилась возможность задать эталонную настройку сразу для нескольких систем, а через новые виджеты можно отслеживать состояние всех подключённых устройств. Это помогает сократить время на индивидуальную настройку и повысить прозрачность управления.
Кроме того, в консоли появилась функция гибкой настройки сроков хранения данных — событий, инцидентов и действий пользователей. Администратор может определять длительность хранения, быстро получать доступ к нужной информации или выгружать данные на внешний носитель. Это позволяет учитывать внутренние политики компаний и требования регуляторов.
В новой версии также упрощено навигационное меню и облегчён процесс установки программного обеспечения, что делает работу с системой более понятной.
По словам менеджера по развитию продуктов InfoWatch ARMA Анны Ивановой, развитие консоли направлено на то, чтобы сократить рутинные операции специалистов по ИБ и ИТ и упростить использование решений ARMA.
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
