Bújócska - a célzott támadások a tiszta" alkalmazásokban bújnak meg Szappanos Gábor

Bújócska - a célzott támadások a „tiszta" alkalmazásokban bújnak meg Szappanos Gábor Principal Malware Researcher

1

Digitális aláírások elleni támadások: • 2010: Stuxnet digitálisan aláírt driverek (lopott cert) • 2012. Június: Flame/Wiper: MD5 collision attack + MS cert • 2012. Október: Adobe által aláírt malware: feltört szerver • 2013. Január: TURKTRUST certificate abuse • 2013. Március: Bit9 által aláírt malware: feltört szerver, lopott cert • Malware írók által vásárolt cert (Digital River,…)

2

Mi a víruskeresés? • Aszimmetrikus ahol a nullhipotézis: Hipotézisteszt,hipotézisteszt, ahol a nullhipotézis: tiszta tiszta állomány, az alternatív hipotézis: malware állomány, az alternatív hipotézis: malware

Ha a nullhipotézist elvetjük, pedig igaz, akkor elsőfajú hibát (fals pozitív, alfa (α) hiba) követünk el; ha ellenben elfogadjuk, pedig nem igaz, akkor másodfajú hibát (fals negatív, béta (β) hiba) követünk el.

3

Célzott támadások általában

4

Célzott támadások rendszerezése: • Shellcode technikák • Beágyazott EXE kódolása • Ideiglenes és végleges komponensek generikus felismerései • C&C URL • Runtime tevékenységek Létrehozott fájlok ￮ Létrehozott registry kulcsok ￮

5

Exploitok és kártevő családok

6

Globális aktivitás

7

8

Plugx

9

Álca dokumentum

10

RAR SFX dropper (v. 3.0, 4.0) Clean signed application Malware loader

Encrypted payload

11

Egyszerű komponensek– (v. 6.0) dw20.dll Stage 1 dropper

2.tmp Stage 2 dropper

Embedded EXE in overlay (0xa00)

Embedded: Sidebar.dll.doc Sidebar.dll Gadget.exe

Gadget.exe Sidebar.dll Sidebar.dll.doc

Dll search order hijacking: tiszta alkalmazás tölti be a malware DLL-t Gadget.exe (trusted process) Sidebar.dll (loader) Sidebar.dll.doc (final payload)

12

Digitálisan aláírt tiszta loaderek

13

Backdoor szolgáltatások Eljárás belső neve Disk

KeyLog

Szolgáltatás Drive információ (típus, szabad hely) Fájlok listázása Könyvtár létrehozása Fájl létrehozása, módosítása, törlése, átnevezése Program futtatása Billentyűleütések rögzítése: %ALLUSERSPROFILE%\SxS\NvSmart.hlp

Nethood

Megosztott hálózati erőforrások listázása

Netstat

TCP kapcsolat állapotának módosítása UDP és TCP kapcsolatok listázása Workstation lezárása Logoff/Reboot/Shutdown workstation Üzenet megjelenítése Port map Processz leállítása Processzek és modulok listázása Process és modul információ összegyűjtése Registry bejegyézek listázása, létrehozása, törlése Screenshot készítése Szervíz információ gyűjtése Szervíz konfiguráció módosítása Szervíz indítása, törlése, szabályozása

Option

PortMap Process

RegEdit Screen Service

Shell SQL

Telnet

Remote shell nyitása SQL driverer listázása SQL adat források listázása SQL parancs végrehajtása Telnet kapcsolat létrehozása 14

DLL search order hijacking másfelé Tusmed (Plugx spinoff project)

oTelepítési hely: %WINDOWS%\ntshrui.dll, explorer.exe tölti be oTelepítési hely: %WINDOWS%\wdmaud.drv, explorer.exe tölti be

Indiqui

oTelepítési hely: %WINDOWS%\ntshrui.dll, explorer.exe tölti be

Icefog

oTelepítési hely: %WINDOWS%\wdmaud.drv, explorer.exe tölti be

Yaludle

oTelepítési hely: %WINDOWS%\msacm32.drv, explorer.exe tölti be

Docker

oTelepítési hely: %WINDOWS%\msacm32.drv, explorer.exe tölti be

Etchfro

oTelepítési hely: %WINDOWS%\fxsst.drv, sfcfiles.dll tölti be

Plugx copycat

15

BLame (a.k.a. Mgbot, Mgmbot)

16

Álca dokumentum

17

CVE-2012-0158 Felbukkanásai: China, Myanmar, Korea „Jelszóvédett” Excel workbook hardcoded default jelszó:

o http://nakedsecurity.sophos.com/2013/04/11/password-excel-velvet-sweatshop/

“VelvetSweatshop”

18

Telepítési menetrend Shellcode in exploited document

Winword.exe: temporary dropper

Embedded EXE in OLE2 “overlay”

Embedded: final payload backup installer rundll32 copy wscript copy

• • • •

AppMgmt.dll

vbstdcomm.nls Odbc.txt

Létező szervízt irányít át: HKLM\SYSTEM\CurrentControlSet\Services\AppMgmt\Parameters --> ServiceDll

19

Backdoor • A LAME MP3 encoder forrásából készítették (http://sourceforge.net/projects/lame) • Hozzáadott malware export(ok) • Néhol a kommunikációhoz a UDT könyvtárat használják (http://udt.sourceforge.net ) • ASCII és Unicode string konstansok DES ECB kódoltak • C&C szerver nevek egyszerű XOR kódolásúak(0x58) • Szokásos backdoor funkciók: o o o o o o

Screenshot készítése Drive típus (FAT, FAT32, NTFS, CDFS) és szabad terület Fájl és könyvtár lista készítése, feltöltése Fájlok átnevezése Könyvtár létrehozása Fájl törlése

20

Simbot

21

CVE-2012-0158 „Jelszóvédett” Excel workbook hardcoded default jelszó:

o http://nakedsecurity.sophos.com/2013/04/11/password-excel-velvet-sweatshop/

“VelvetSweatshop”

22

Fertőzés menete Shellcode in exploited document

First stage dropper

Intermediate dropped

Installer

Embedded EXE in OLE2 “overlay”

Embedded plain EXE

Embedded encrypted EXE

Embedded encrypted components

Science.exe (trusted process)

DDVCtrlLib.dll DDVEC.dll (clean libraries) Config.dat (final payload)

Startup kulcs:

HKLM\SYSTEM\CurrentControlSet\Services\NetWork Service\ImagePath

DEP kizárási listához hozzáadva:

sysdm.cpl -> NoExecuteAddFileOptOutList 23

Autostart kulcs HKLM\SYSTEM\CurrentControlSet\Services\NetWork Service\ImagePath = C:\Documents and Settings\All Users\NetWork\science.exe

LLLLYIIII7QZAkA0D2A00A0kA0D2A12B10B1ABjAX8A1uIN2uNkXlMQJLePvbUPePJgW59t7kwOKDSPJgg5hh2ZezxFVXJg75xlrebuXbtKyWqUXp5FKfZvYPKwpEzTm7xosdLUO7w5zXLnN0dVNKO72eKLYKJs

3ROEucKypdnkgEVP5PgpUPLKRVtLLKT6ELLKw6WxlKQnwPLKp6u6vYPOr8RUzRnkyHlKRs7LNkpTvzt8wsxSlIqEYLlK1bQ0wsZSNkSzFxVSjrk9aEkhcfrqLKsen8NmQmXdlMulNwwCJrkLnM5SO3rrpVvSZrNkxpVSiPKLnLlDKpptEWKqYR334rN0XkHtLKy RQNBzgK370t7t72xbklJlNkw5klLK3xuteSxKQvNkTTRqnkG8wlESjkNks4J1wsISk9VgKN75JxOpsMxX7vpYaNqnlkPj60lK9MnazKGpUQUPGpbsQzEPKOpUKTOuO0tOk4nQWpePUPlKzUmQJNePeQgpwpGsl0KMNLrFUmQL303DURzK8wKLiWSvfbQs bORN1vhG2fUVaySWfNcTKwpF4J3QPtuPWpBJc0PhMPwpwp7pazUSsZuPSZS1PhWpUP7pMPpSioSeKXNczXKOsDPlLKJxSZ7pPSkO65JTMYQUxLSZw0SX30VpS0S02p1zgpYoSel8neKpOy0ExPPtpMpj7pnmF5iDf2ioSEXLv0qCKOv5XlLE9PT4ekbskO se8pLKcezpNkPMxLmQYTuPURePuPlKM5QMP3iKsyRqmZuJP0Wl7zXbkKbyTsKkcsK0KKKORUUT5cKkZKzVvP5LvjXbJQnmK2tStL7pePF0crkOKbySAN2unkZLk1jLGpdBWpwpo73uKTWkwOIdU0iWW5kX0z5zjfTxO7rexlsu2uM2TKxGbejP5Fn6HVyP XG1Ul4M7XoRtZ5yW2ezXNNxP4VlkO73uilYKhSSR856SHIsTnkgE6PGpUPUPLKPvtLNkafWllKrfGxLKsNa0NkwFQvVYPODXPuXrLKkhlKPSgLlK646zT84ChSmYceKlNkqbepwshsLKPJ6xFSkbmYQEzxpVv1Nk2uN8LMcMHdLM5lLWp39BKLlmTCXCf2SfP 38RLKzPecyPKLllLDiP2TEWiQO2USvRzphk8tLKKrCnBzwKVg3DwtaRM2KlzlnkG5KlNksxUtfcxKPfnkwdPQNkRhWleSJklKVdNqC3hCNi4GkNpEjxMPqmZx7vSiSnSNnKbJV0lKyMmQjK7p7q5PgpPS2J7pioF5ytMUYPFoLDoRGpwp5PLKL5k1zNuPFa7p Wp7sxpymLl56wMQLePRTWrxkKGYl9WPFWr2CBORNE6HGQVVf1ybGTnPdO7qVfjaqT4UPS0azgpSXk0WpgpUPSZuSqzWppj31qxuPePuPmPPSioseKXMSKHKOPtaMLKKhrJ5PqCKOpUjTMYCuhLsZ3pQx7p4PWp7prprJUPioceHxK5KpmYW5ZpQd WNsZUPLM3ekdPRkOBUzlpP63kORuxlneIPbT4lpSKOv58pLKPUN0Nk2m8LnaYTuPs2WpGpNkkUsmecKkQYSamZuJP0wl4JkRkKCidsIKNmMRuC4L30s02pW2kOhRYSD2A00A0kA0D2A12B10B1ABjAX8A1uIN2unkZLk1jLGpdBWpwpo73uKTWkwOI dU0iWW5kX0z5zjfTxO7rexlsu2uM2TKxGbejP5Fn6HVyPXG1Ul4M7XoRtZ5yW2ezXNNxP4VlkO73uilYKhSSR856SHIsTnkgE6PGpUPUPLKPvtLNkafWllKrfGxLKsNa0NkwFQvVYPODXPuXrLKkhlKPSgLlK646zT84ChSmYceKlNkqbepwshsLKPJ6xFSkbmY QEzxpVv1Nk2uN8LMcMHdLM5lLWp39BKLlmTCXCf2SfP38RLKzPecyPKLllLDiP2TEWiQO2USvRzphk8tLKKrCnBzwKVg3DwtaRM2KlzlnkG5KlNksxUtfcxKPfnkwdPQNkRhWleSJklKVdNqC3hCNi4GkNpEjxMPqmZx7vSiSnSNnKbJV0lKyMmQjK7p7q5Pg pPS2J7pioF5ytMUYPFoLDoRGpwp5PLKL5k1zNuPFa7pWp7sxpymLl56wMQLePRTWrxkKGYl9WPFWr2CBORNE6HGQVVf1ybGTnPdO7qVfjaqT4UPS0azgpSXk0WpgpUPSZuSqzWppj31qxuPePuPmPPSioseKXMSKHKOPtaMLKKhrJ5PqCKOpUjTMY CuhLsZ3pQx7p4PWp7prprJUPioceHxK5KpmYW5ZpQdWNsZUPLM3ekdPRkOBUzlpP63kORuxlneIPbT4lpSKOv58pLKPUN0Nk2m8LnaYTuPs2WpGpNkkUsmecKkQYSamZuJP0wl4JkRkKCidsIKNmMRuC4L30s02pW2kOhRYSD2A00A0kA0D2A12B10 B1ABjAX8A1uIN2unkZLk1jLGpdBWpwpo73uKTWkwOIdU0iWW5kX0z5zjfTxO7rexlsu2uM2TKxGbejP5Fn6HVyPXG1Ul4M7XoRtZ5yW2ezXNNxP4VlkO73uilYKhSSR856SHIsTnkgE6PGpUPUPLKPvtLNkafWllKrfGxLKsNa0NkwFQvVYPODXPuXrLKkhlK PSgLlK646zT84ChSmYceKlNkqbepwshsLKPJ6xFSkbmYQEzxpVv1Nk2uN8LMcMHdLM5lLWp39BKLlmTCXCf2SfP38RLKzPecyPKLllLDiP2TEWiQO2USvRzphk8tLKKrCnBzwKVg3DwtaRM2KlzlnkG5KlNksxUtfcxKPfnkwdPQNkRhWleSJklKVdNqC3hCNi 4GkNpEjxMPqmZx7vSiSnSNnKbJV0lKyMmQjK7p7q5PgpPS2J7pioF5ytMUYPFoLDoRGpwp5PLKL5k1zNuPFa7pWp7sxpymLl56wMQLePRTWrxkKGYl9WPFWr2CBORNE6HGQVVf1ybGTnPdO7qVfjaqT4UPS0azgpSXk0WpgpUPSZuSqzWppj31qxuPe PuPmPPSioseKXMSKHKOPtaMLKKhrJ5PqCKOpUjTMYCuhLsZ3pQx7p4PWp7prprJUPioceHxK5KpmYW5ZpQdWNsZUPLM3ekdPRkOBUzlpP63kORuxlneIPbT4lpSKOv58pLKPUN0Nk2m8LnaYTuPs2WpGpNkkUsmecKkQYSamZuJP0wl4JkRkKCidsIK NmMRuC4L30s02pW2kOhRYSD2A00A0kA0D2A12B10B1ABjAX8A1uIN2unkZLk1jLGpdBWpwpo73uKTWkwOIdU0iWW5kX0z5zjfTxO7rexlsu2uM2TKxGbejP5Fn6HVyPXG1Ul4M7XoRtZ5yW2ezXNNxP4VlkO73uilYKhSSR856SHIsTnkgE6PGpUPUPL KPvtLNkafWllKrfGxLKsNa0NkwFQvVYPODXPuXrLKkhlKPSgLlK646zT84ChSmYceKlNkqbepwshsLKPJ6xFSkbmYQEzxpVv1Nk2uN8LMcMHdLM5lLWp39BKLlmTCXCf2SfP38RLKzPecyPKLllLDiP2TEWiQO2USvRzphk8tLKKrCnBzwKVg3DwtaRM2Klzlnk G5KlNksxUtfcxKPfnkwdPQNkRhWleSJklKVdNqC3hCNi4GkNpEjxMPqmZx7vSiSnSNnKbJV0lKyMmQjK7p7q5PgpPS2J7pioF5ytMUYPFoLDoRGpwp5PLKL5k1zNuPFa7pWp7sxpymLl56wMQLePRTWrxkKGYl9WPFWr2CBORNE6HGQVVf1ybGTnPdO 7qVfjaqT4UPS0azgpSXk0WpgpUPSZuSqzWppj31qxuPePuPmPPSioseKXMSKHKOPtaMLKKhrJ5PqCKOpUjTMYCuhLsZ3pQx7p4PWp7prprJUPioceHxK5KpmYW5ZpQdWNsZUPLM3ekdPRkOBUzlpP63kORuxlneIPbT4lpSKOv58pLKPUN0Nk2m8LnaY TuPs2WpGpNkkUsmecKkQYSamZuJP0wlD2A00A0kA0D2A12B10B1ABjAX8A1uIN2unkZLk1jLGpdBWpwpo73uKTWkwOIdU0iWW5kX0z5zjfTxO7rexlsu2uM2TKxGbejP5Fn6HVyPXG1Ul4M7XoRtZ5yW2ezXNNxP4VlkO73uilYKhSSR856SHIsTnkgE6P GpUPUPLKPvtLNkafWllKrfGxLKsNa0NkwFQvVYPODXPuXrLKkhlKPSgLlK646zT84ChSmYceKlNkqbepwshsLKPJ6xFSkbmYQEzxpVv1Nk2uN8LMcMHdLM5lLWp39BKLlmTCXCf2SfP38RLKzPecyPKLllLDiP2TEWiQO2USvRzphk8tLKKrCnBzwKVg3Dwta RM2KlzlnkG5KlNksxUtfcxKPfnkwdPQNkRhWleSJklKVdNqC3hCNi4GkNpEjxMPqmZx7vSiSnSNnKbJV0lKyMmQjK7p7q5PgpPS2J7pioF5ytMUYPFoLDoRGpwp5PLKL5k1zNuPFa7pWp7sxpymLl56wMQLePRTWrxkKGYl9WPFWr2CBORNE6HGQVVf1y bGTnPdO7qVfjaqT4UPS0azgpSXk0WpgpUPSZuSqzWppj31qxuPePuPmPPSioseKXMSKHKOPtaMLKKhrJ5PqCKOpUjTMYCuhLsZ3pQx7p4PWp7prprJUPioceHxK5KpmYW5ZpQdWNsZUPLM3ekdPRkOBUzlpP63kORuxlneIPbT4lpSKOv58pLKPUN0N k2m8LnaYTuPs2WpGpNkkUsmecKkQYSamZuJP0wl4JkRkKCidsIKNmMRuC4L30s02pW2kOhRYSD2A00A0kA0D2A12B10B1ABjAX8A1uIN2unkZLk1jLGpdBWpwpo73uKTWkwOIdU0iWW5kX0z5zjfTxO7rexlsu2uM2TKxGbejP5Fn6HVyPXG1Ul4M7X oRtZ5yW2ezXNNxP4VlkO73uilYKhSSR856SHIsTnkgE6PGpUPUPLKPvtLNkafWllKrfGxLKsNa0NkwFQvVYPODXPuXrLKkhlKPSgLlK646zT84ChSmYceKlNkqbepwshsLKPJ6xFSkbmYQEzxpVv1Nk2uN8LMcMHdLM5lLWp39BKLlmTCXCf2SfP38RLKzPecy PKLllLDiP2TEWiQO2USvRzphk8tLKKrCnBzwKVg3DwtaRM2KlzlnkG5KlNksxUtfcxKPfnkwdPQNkRhWleSJklKVdNqC3hCNi4GkNpEjxMPqmZx7vSiSnSNnKbJV0lKyMmQjK7p7q5PgpPS2J7pioF5ytMUYPFoLDoRGpwp5PLKL5k1zNuPFa7pWp7sxpymLl 56wMQLePRTWrxkKGYl9WPFWr2CBORNE6HGQVVf1ybGTnPdO7qVfjaqT4UPS0azgpSXk0WpgpUPSZuSqzWppj31qxuPePuPmPPSioseKXMSKHKOPtaMLKKhrJ5PqCKOpUjTMYCuhLsZ3pQx7p4PWp7prprJUPioceHxK5KpmYW5ZpQdWNsZUPLM3 ekdPRkOBUzlpP63kORuxlneIPbT4lpSKOv58pLKPUN0Nk2m8LnaYTuPs2WpGpNkkUsmecKkQYSamZuJP0wl4JkRkKCidsIKNmMRuC4L30s02pW2kOhRYSD2A00A0kA0D2A12B10B1ABjAX8A1uIN2unkZLk1jLGpdBWpwpo73uKTWkwOIdU0iWW5kX0 z5zjfTxO7rexlsu2uM2TKxGbejP5Fn6HVyPXG1Ul4M7XoRtZ5yW2ezXNNxP4VlkO73uilYKhSSR856SHIsTnkgE6PGpUPUPLKPvtLNkafWllKrfGxLKsNa0NkwFQvVYPODXPuXrLKkhlKPSgLlK646zT84ChSmYceKlNkqbepwshsLKPJ6xFSkbmYQEzxpVv1Nk2 uN8LMcMHdLM5lLWp39BKLlmTCXCf2SfP38RLKzPecyPKLllLDiP2TEWiQO2USvRzphk8tLKKrCnBzwKVg3DwtaRM2KlzlnkG5KlNksxUtfcxKPfnkwdPQNkRhWleSJklKVdNqC3hCNi4GkNpEjxMPqmZx7vSiSnSNnKbJV0lKyMmQjK7p7q5PgpPS2J7pioF5y tMUYPFoLDoRGpwp5PLKL5k1zNuPFa7pWp7sxpymLl56wMQLePRTWrxkKGYl9WPFWr2CBORNE6HGQVVf1ybGTnPdO7qVfjaqT4UPS0azgpSXk0WpgpUPSZuSqzWppj31qxuPePuPmPPSioseKXMSKHKOPtaMLKKhrJ5PqCKOpUjTMYCuhLsZ3pQx7 p4PWp7prprJUPioceHxK5KpmYW5ZpQdWNsZUPLM3ekdPRkOBUzlpP63kORuxlneIPbT4lpSKOv58pLKPUN0Nk2m8LnaYTuPs2WpGpNkkUsmecKkQYSamZuJP0wl4JkRkKCidsIKNmMRuC4L30s02pW2kOhRYSAAA4JkRkKCidsIKD2A00A0kA0D2A12 B10B1ABjAX8A1uIN2unkZLk1jLGpdBWpwpo73uKTWkwOIdU0iWW5kX0z5zjfTxO7rexlsu2uM2TKxGbejP5Fn6HVyPXG1Ul4M7XoRtZ5yW2ezXNNxP4VlkO73uilYKhSSR856SHIsTnkgE6PGpUPUPLKPvtLNkafWllKrfGxLKsNa0NkwFQvVYPODXPuXrLK khlKPSgLlK646zT84ChSmYceKlNkqbepwshsLKPJ6xFSkbmYQEzxpVv1Nk2uN8LMcMHdLM5lLWp39BKLlmTCXCf2SfP38RLKzPecyPKLllLDiP2TEWiQO2USvRzphk8tLKKrCnBzwKVg3DwtaRM2KlzlnkG5KlNksxUtfcxKPfnkwdPQNkRhWleSJklKVdNqC3h CNi4GkNpEjxMPqmZx7vSiSnSNnKbJV0lKyMmQjK7p7q5PgpPS2J7pioF5ytMUYPFoLDoRGpwp5PLKL5k1zNuPFa7pWp7sxpymLl56wMQLePRTWrxkKGYl9WPFWr2CBORNE6HGQVVf1ybGTnPdO7qVfjaqT4UPS0azgpSXk0WpgpUPSZuSqzWppj31qx uPePuPmPPSioseKXMSKHKOPtaMLKKhrJ5PqCKOpUjTMYCuhLsZ3pQx7p4PWp7prprJUPioceHxK5KpmYW5ZpQdWNsZUPLM3ekdPRkOBUzlpP63kORuxlneIPbT4lpSKOv58pLKPUN0Nk2m8LnaYTuPs2WpGpNkkUsmecKkQYSamZuJP0wl4JkRkKCid sIKNmMRD2A00A0kA0D2A12B10B1ABjAX8A1uIN2unkZLk1jLGpdBWpwpo73uKTWkwOIdU0iWW5kX0z5zjfTxO7rexlsu2uM2TKxGbejP5Fn6HVyPXG1Ul4M7XoRtZ5yW2ezXNNxP4VlkO73uilYKhSSR856SHIsTnkgE6PGpUPUPLKPvtLNkafWllKrfGxL KsNa0NkwFQvVYPODXPuXrLKkhlKPSgLlK646zT84ChSmYceKlNkqbepwshsLKPJ6xFSkbmYQEzxpVv1Nk2uN8LMcMHdLM5lLWp39BKLlmTCXCf2SfP38RLKzPecyPKLllLDiP2TEWiQO2USvRzphk8tLKKrCnBzwKVg3DwtaRM2KlzlnkG5KlNksxUtfcxKPfn kwdPQNkRhWleSJklKVdNqC3hCNi4GkNpEjxMPqmZx7vSiSnSNnKbJV0lKyMmQjK7p7q5PgpPS2J7pioF5ytMUYPFoLDoRGpwp5PLKL5k1zNuPFa7pWp7sxpymLl56wMQLePRTWrxkKGYl9WPFWr2CBORNE6HGQVVf1ybGTnPdO7qVfjaqT4UPS0azgp SXk0WpgpUPSZuSqzWppj31qxuPePuPmPPSioseKXMSKHKOPtaMLKKhrJ5PqCKOpUjTMYCuhLsZ3pQx7p4PWp7prprJUPioceHxK5KpmYW5ZpQdWNsZUPLM3ekdPRkOBUzlpP63kORuxlneIPbT4lpSKOv58pLKPUN0Nk2m8LnaYTuPs2WpGpNkkUs mecKkQYSamZuJP0wl4JkRkKCidsIKNmMRuC4L30s02pW2kOhRYSAuC4L30s02pW2kOhRD2A00A0kA0D2A12B10B1ABjAX8A1uIN2unkZLk1jLGpdBWpwpo73uKTWkwOIdU0iWW5kX0z5zjfTxO7rexlsu2uM2TKxGbejP5Fn6HVyPXG1Ul4M7XoRtZ5y

W2ezXNNxP4VlkO73uilYKhSSR856SHIsTnkgE6PGpUPUPLKPvtLNkafWllKr 100 PC@

24

Buffer túlírás logolásnál char *write_log(int a1, char *Format, ...) Using vsprintf, here is no way to limit the number of characters written, which { means that code using this function is susceptible to buffer overruns. va_list va; // [sp+200Ch] [bp+Ch]@1 Use _vsnprintf instead, or call _vscprintf to determine how large a buffer char *result; // eax@1 is needed. char Dest; // [sp+0h] [bp-2000h]@2

}

va_start(va, Format); result = Format; if ( Format ) { result = (char *)vsprintf(&Dest, Format, va); if ( (unsigned int)result < 0x2000 ) result = (char *)CLog__ADD_Log(g_Log, &Dest, result, a1); } return result;

25

Backdoor Vékony kliens Lemezmentes memóriába betöltés Kapcsolatot nyit: 59.188.23.121 (8001 vagy 8433 porton) zlib tömörített letöltés (update) Konfiguráció registry-ban vagy fájlból) o HKLM\SOFTWARE\Microsoft\Windows\Help -> Config o file %ALLUSERSPROFILE%\NetWork\t1.dat

26

Konklúzió

Attól, hogy valami úgy néz ki, vagy úgy működik, mint egy tiszta alkalmazás, vagy esetleg még az is, nem jelenti, hogy nem aktív szereplője egy célzott támadásnak.

27

[email protected]

© Sophos Ltd. All rights reserved.

28