Правительственный бэкдор использует Windows BITS, чтобы скрыть трафик

Правительственный бэкдор использует Windows BITS, чтобы скрыть трафик

Новый бэкдор, замеченный в атаках правительственных кибершпионов, использует компонент Windows BITS (Background Intelligent Transfer Service), чтобы скрыть трафик, которым он обменивается с командным сервером.

По словам исследователей в области кибербезопасности, им известна группировка, стоящая за новым бэкдором. Ее имя — Stealth Falcon. Активность этих злоумышленников эксперты отслеживают уже несколько лет.

На сегодняшний день единственный отчёт об операциях Stealth Falcon принадлежит экспертам Citizen Lab, некоммерческой организации, специализирующейся на защите прав человека. Отчёт датируется 2016 годом.

Специалисты Citizen Lab утверждают, что эта группа действует с 2012 года. Ранее в ее атаках использовался другой бэкдор, надписанный на PowerShell.

Однако в опубликованном 9 сентября исследовании экспертов ESET утверждается, что Stealth Falcon перешла на использование нового инструмента, причём он ещё более изощрённый и скрытный.

Основным методом, которым пользуется бэкдор для сокрытия своей деятельности в системе, является компонент Windows, известный под аббревиатурой BITS. BITS — служба фоновой передачи файлов, осуществляемая между клиентом и сервером.

Выявив новый троян, сотрудники ESET присвоили ему имя — Win32/StealthFalcon. По их словам, вредонос работает как стандартный бэкдор, позволяющий операторам загружать и запускать код или извлекать данные, оправляя их на сервер злоумышленников.

В ESET подчеркнули, что Win32/StealthFalcon взаимодействует с командным центром (C&C) не через классические HTTP- или HTTPS-запросы, а пряча трафик внутри BITS. Исследователи полагают, что такой подход позволяет преступникам обходить файрволы — ведь все привыкли, что трафик BITS содержит лишь обновления софта, поэтому чаще всего его игнорируют.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

В вышедшей Windows 10 2004 реализована поддержка Wi-Fi 6 и WPA3

Вышло долгожданное крупное обновление Windows 10 2004. Как сообщили представители Microsoft, в этой версии разработчики реализовали поддержку Wi-Fi 6 и WPA3, что обеспечит более высокую скорость интернета и лучше защитит беспроводное подключение.

Напомним, что релиз Windows 10 2004 состоялся вчера. Желающие установить апдейт могут проверить в Windows Update наличие обновлений (и там же запустить процесс скачивания и инсталляции).

«Windows 10 (версии 2004) поддерживает Wi-Fi 6 и WPA3. Wi-Fi 6 обеспечивает лучшее покрытие и более быстрое подключение, а WPA3 защищает общую безопасность Wi-Fi, поскольку используется последний на сегодняшний день стандарт», — объясняет Microsoft.

Однако стоит учитывать, что вам потребуется соответствующий маршрутизатор, который должен поддерживать Wi-Fi 6 и WPA3, иначе ощутить преимущества нововведения просто не получится.

«Проверить, поддерживает ли ваш роутер Wi-Fi 6 достаточно легко. Для этого нужно открыть командную строку и ввести туда "netsh wlan show drivers". После этого попытайтесь найти среди поддерживаемых стандартов 802.11ax», — добавляет Microsoft.

 

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru