ΑρχικήsecurityExit node του Tor χρησιμοποιείται για την μετάδοση του νέου τύπου malware...

Exit node του Tor χρησιμοποιείται για την μετάδοση του νέου τύπου malware “OnionDuke”

500px-Tor-logo-2011-flat.svg_

Ένας κακόβουλος διακομιστής εξόδου στο δίκτυο Tor βρέθηκε ότι διανέμει έναν νέο τύπο κακόβουλου λογισμικού malware που ερευνητές ονόμασαν OnionDuke λόγω της σύνδεσής του με την ομάδα που βρίσκεται πίσω από το εργαλείο κυβερνο-κατασκοπείας MiniDuke.

Αυτό το είδος της επίθεσης είναι ασυνήθιστο και ανακαλύφθηκε από τον Josh Pitts, σύμβουλο ασφάλειας στη Leviathan Security, ο οποίος βρήκε ότι ο κακόβουλος κόμβος εξόδου (exit node) τροποποιεί τα ασυμπίεστα binaries που διέρχονται από αυτόν και προσθέτει ένα κακόβουλο εκτελέσιμο. Η μέθοδος αυτή διευκολύνει τον επιτιθέμενο να παρακάμψει τους ελέγχους ακεραιότητας που σχετίζονται με το αρχικό αρχείο.

Οι ερευνητές ασφαλείας της F-Secure μελέτησαν την τεχνική διανομής του νέου malware και επιβεβαίωσαν τις πληροφορίες που παρουσιάστηκαν, από τον Pitts, παρέχοντας λεπτομέρειες σχετικά με το πώς εκτελέστηκε το payload, την επικοινωνία του με τον (C & C) command and control server και την ενσωματωμένη λειτουργία.

Ο Artturi Lehtiö ανέλυσε τη συμπεριφορά του dropper και παρατήρησε ότι περιείχε ένα κρυπτογραφημένο αρχείο DLL που φαίνεται ως εικόνα GIF. Μετά την αποκρυπτογράφηση του DLL, ο dropper το αποθηκεύει στον δίσκο και το εκτελεί.

Η εκτέλεση των κακόβουλων δραστηριοτήτων συνεχίζεται με την αποκρυπτογράφηση του αρχείου configuration και προσπαθεί να συνδεθεί με τον C&C server που θα στείλει περαιτέρω οδηγίες για το κακόβουλο λογισμικό.

Διάφορα στοιχεία του OnionDuke έχουν εντοπιστεί κατά τη διάρκεια της ανάλυσης, αποκαλύπτοντας τις δυνατότητές του. Η κλοπή διαπιστευτηρίων είναι επιδιωκόμενος σκοπός του κακόβουλου λογισμικού και προκειμένου να επιτευχθεί η παραμονή του στο σύστημα που επηρεάζεται, ο δημιουργός πρόσθεσε ρουτίνες για την ανίχνευση της παρουσίας συστημάτων ασφαλείας (antivirus, firewall).

Οι ερευνητές βρήκαν τη σύνδεση μεταξύ του OnionDuke και του MiniDuke, η οποία συνίστατο σε ένα C&C domain που είχε καταχωρηθεί το 2011 με το ψευδώνυμο John Kasai και χρησιμοποιήθηκε για την εγγραφή άλλων δύο εβδομάδες αργότερα.

«Αυτό υποδηλώνει σαφώς ότι, αν και το OnionDuke και το MiniDuke είναι δύο ξεχωριστές «οικογένειες» κακόβουλου λογισμικού, αυτοί που βρίσκονται πίσω από αυτές συνδέονται με τη χρήση κοινόχρηστων υποδομών,”  έγραψε  ο Artturi Lehtiö σε ένα blog post, την Παρασκευή.

Σύμφωνα με τον ερευνητή, υπάρχουν ενδείξεις ότι το OnionDuke έχει χρησιμοποιηθεί σε στοχευμένες επιθέσεις εναντίον ευρωπαϊκών κρατικών οργανισμών.

Η λήψη μη κρυπτογραφημένων εκτελέσιμων αρχείων μέσω του Tor είναι μια ριψοκίνδυνη πράξη, διότι η ταυτότητα του exit node δεν είναι γνωστή. Ο Lehtiö προτείνει τη χρήση μια σύνδεσς VPN που θα κρυπτογραφήσει τη σύνδεση end-to-end.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS