Новооткрита заплаха използва EFS [Повече в темата]
Публикувано на: 13 Юни 2013, 22:06
от u3HEHAga
Новооткрита заплаха използва EFS, за да скрие присъствието си в системата ни.
Специалистите от компанията за информационна и интернет защита Symantec съобщиха за откриването на нов метод за прикриване на присъствието на малуер в системата, който е бил използван от киберпрестъпници.
За създателите на малуер кода, влизането в системата и настаняването в мрежата от устройства е едва една от стъпките на тяхната дейност. Днес, те отделят голямо внимание не само на писането на зловреден код, но и на създаването на начини за техния продукт да остане незабелязан, колкото се може по-дълго на компрометираната система.
Разработчиците от компанията са се натъкнали на бекдор програма известна като Tranwos, която компрометира уиндоуска услуга, която е известна като Encrypting File System (EFS).
"Не само, че е лесно за програмен код да се възползва от EFS, но е изключително ефективно като метод, за целите на избягването на задълбочен анализ и достигането до съдържанието на файла", съобщава Казумаса Итабаши от Symantec.
В началото малуерът създава папка %Temp%\s[произволен ред от ASCII символи], а след това "извиква" EncryptFileW API, за да криптира папката, като всички папки, които се създават и разполагат в нея впоследствие биват криптирани автоматично от Windows. Заплахата също се копира с името wow.dll в папката и променя функцията Characteristic на PE-хедъра, за да може да се промени в DLL-файл.
The threat creates the folder %Temp%\s[RANDOM ASCII CHARACTERS] and then calls the EncryptFileW API in order to encrypt the folder and all files and folders subsequently created in the encrypted folder will be encrypted automatically by Windows. The threat also copies itself as the file name wow.dll in the folder and then modifies the Characteristic attribute of the PE header in order to change to a DLL file.
Figure 1. Creates folder and encrypts it
In some cases, security researchers may use another operating system, such as a version of Linux bootable from a removable drive, in order to retrieve malicious files from a compromised computer. This method is useful when retrieving files from a computer compromised by a rootkit. However, it’s impossible to get the file wow.dll by this method because the DLL file is encrypted on the EFS.
A user account that executes this threat can see the contents of the file and change the status of the encryption. As this threat makes it impossible for researchers to use forensic tools, as we normally would, we have to manually execute the threat on a test computer to gather the contents of the file. The purpose of this threat using EFS is only to prevent forensic analysis from retrieving the contents of itself.[/code]
Какви са пречките обаче тук за малуер изследователя, обяснява Итабаши: "В някои случаи, специалистите по компютърна безопасност използват друга операционна система, като да речем дистрибуция на Linux от флашка, за да могат да се доберат до зловредните файлове в компрометирания компютър. Това например е успешен метод, когато трябва да се открият файлове в система, която е била компрометирана от руткит. Тук обаче няма начин да се доберем до wow.dll, тъй като DLL-файлът е криптиран от EFS", обяснява Итабаши. "Потребителски акаунт, който изпълнява тази заплаха може да види файла и промени крипто статута му. И след като при тази заплаха традиционните инструменти, с които разследваме компрометираната система, не вършат работа, на нас ни се налага ръчно да възпроизведем заплахата върху тестов компютър, за да стигнем до съдържанието на файла", завършва Итабаши.
