Csak nehogy dalra fakadjon a Mozart vírus
A Mozart nevű kártékony program egy meglehetősen ravasz trükköt használ a védelmi megoldások megtévesztéséhez.Azok a kártékony programok, amelyek valamilyen vezérlőszerverrel kommunikálnak, általában igyekeznek minél jobban leplezni az általuk generált adatforgalmat. Teszik mindezt azért, hogy a védelmi vonalakon átjuthassanak, és ne keltsenek feltűnést. Sok esetben titkosított (leginkább HTTPS) alapú csatornán keresztül veszik fel a kapcsolatot a kiszolgálóikkal, amelyekről aztán különféle parancsokat hajtanak végre, vagy éppen adatokat szivárogtatnak ki azokra. A Mozart nevű trójai is hasonló elvek mentén végzi a nemkívánatos tevékenységét, de a kommunikáció elrejtésére más módszert vet be.
DNS-ben az erő
A MalwareHunterTeam és a SentinelLabs biztonsági kutatói által vizsgált Mozart trójai legfontosabb jellemzője, hogy botnetek kialakításában vesz részt. Ehhez pedig DNS bejegyzéseken keresztül fogadja a támadók parancsait. Vagyis a hagyományosan alkalmazott HTTP vagy HTTPS adatforgalom helyett a védelmi megoldások által sok esetben kevésbé monitorozott DNS-lekérdezéseket használja.
A Mozart által alkalmazott módszer alapvetően nem bonyolult. A gyakorlatban azzal él vissza, hogy a DNS bejegyzések közé úgynevezett TXT rekordokat is fel lehet venni, amelyek tetszőleges karaktersorozatot tartalmazhatnak. Ezeknek a TXT-bejegyzéseknek fontos szerepük van különféle online szolgáltatások vagy akár védelmi technológiák működésében is. Így alapvetően hasznosak, egészen addig, amíg a kiberbűnözők a saját javukra nem fordítják azokat.
A trójai a számítógépekre elsősorban kártékony elektronikus levelek révén igyekszik felkerülni. Az eddig lefülelt levelek többsége egy ártalmas PDF-csatolmányt tartalmaz, amely egy ZIP-fájl letöltését lehetővé tevő linket is magában foglal. Amennyiben e ZIP-állomány letöltésére sor kerül, akkor a kicsomagolását követően egy - JScript révén - a Windows átmeneti fájlok tárolására szolgáló mappájába létrejön egy calc.exe nevű fájl. A Mozart emellett arról is gondoskodik, hogy a Windows újraindítása után is működőképes maradjon, amit egy Indítópultba elhelyezett parancsikonnal ér el. A károkozó ezt követően kezdi rendszeresen lekérdezni a hozzá tartozó DNS-szervert, és a megfelelő TXT-rekordokat. Amennyiben ezekben parancsokat kap, akkor azokat végrehajtja. (A DNS-kiszolgáló címét beégetetten tartalmazza, de az egyes variánsai esetében ez a cím könnyedén változhat.)
Mit lehet tenni?
Nem a Mozart az egyetlen DNS-alapú kártevő. Például 2017-ben a DNSMessenger nevű károkozó is hasonló elvek mentén fertőzött. Már akkor bebizonyosodott, hogy a védelmi vonalakon szükség lehet a DNS-bejegyzések alaposabb vizsgálatára. Ezért, ha rendelkezésre áll megfelelő hálózatbiztonsági eszköz (például IDS/IPS), akkor célszerű engedélyezni a DNS-elemzéseket.
-
A FreeRDP-hez öt patch vált elérhetővé.
-
A Dell biztonsági frissítést adott ki a Custom VMware ESXi-hez.
-
A Google kritikus veszélyességű sebezhetőségeket orvosolt a Chrome webböngésző kapcsán.
-
Az IBM QRadar SIEM-hez egy biztonsági javítás érkezett.
-
A Fortinet FortiNAC-F kapcsán egy biztonsági hibára derült fény.
-
A Firefox legújabb kiadása számos sebezhetőséget orvosolt.
-
A CrushFTP fejlesztői egy biztonsági rést foltoztak be.
-
A GNU C Library kapcsán egy veszélyes biztonsági résre derült fény.
-
A Microsoft Edge legújabb verziója számos sebezhetőséget szüntet meg.
-
Kritikus fontosságú hibajavítás vált elérhetővé a ChromeOS-hez.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.