Ráharaptak az FTP-re a vírusírók
A kártékony programok működését vezérlő szerverek kapcsán egy viszonylag szokatlan jelenség ütötte fel a fejét. Ezúttal az FTP került középpontba.A vírusterjesztők és a biztonsági cégek között abból a szempontból is dúl a harc, hogy a kártékony programok és a vezérlőszerverek között miként lehet megvalósítani a kommunikációt. Nyilván a vírusírók azt akarják elérni, hogy a szerzeményeik minél tovább legyenek képesek észrevétlenül adatokat küldeni, illetve fogadni. Ezzel szemben a védelmi technológiák fejlesztőinek olyan megoldásokat kell találniuk, amik ezt a fajta nemkívánatos kommunikációt minél gyorsabban tudják blokkolni. Ez utóbbi nem egyszerű feladat, hiszen a trójai programok és egyéb károkozók számos esetben titkosított módon fogadják és küldik az adatokat, például a HTTPS adta lehetőségek kihasználásával.
A Trend Micro kutatói által legutóbb vizsgált számítógépes károkozó azonban némileg más utat választott, ugyanis a vezérlőszerverével való kapcsolattartást FTP-n keresztül valósítja meg. Ennek a megoldásnak alapvetően két vetülete van. Egyrészt egy – e téren – viszonylag szokatlan protokoll kerül bevetésre, ami minden bizonnyal sok védelmi megoldás figyelmét kerüli el. Másrészt viszont nem titkosított az adatforgalom, így az könnyen elemezhető.
Egy szokásos forgatókönyv
A biztonsági cég szerint a vírusterjesztés ezúttal is egy kártékony makrókat tartalmazó dokumentummal veszi kezdetét. Ilyen küldemények e-mailekben terjednek, amelyek eddig legtöbbször a Vöröskereszthez és a WHO-hoz köthető személyek postafiókjaiban landoltak. Amikor a felhasználó a csatolmányt megnyitja, és engedélyezi a makrók futtatását, akkor a Windows átmeneti fájlok tárolására szolgáló (Temp) mappájába bekerül egy .exe kiterjesztésű fájl, amely a káros dokumentumban Base64 kódolással kap helyet. Ezt a futtatható fájlt aztán a makró elindítja, és kezdetét veszi a tényleges károkozás.
A fertőzésben a már 2012 óta ismert Sanny trójai is szerepet kap. A kártékony kód attól függően települ fel a PC-re, hogy az azon futó Windows 32 vagy 64 bites. Ezt követően egy kötegelt (.bat) állomány felhasználásával Windows-os folyamatok megfertőzésére kerül sor, miközben egy Windows-os szolgáltatás is létrejön COMSysApp néven. Végül pedig egy konfigurációs fájl kerül be a %Windows%\System32 mappába.
Jön az FTP
Amikor a trójai végez az előkészítő tevékenységével, akkor kapcsolódik a vezérlőszerveréhez FTP-n keresztül, és letölt egy sima szöveges (.txt) állományt, amely parancsokat tartalmaz. Ezeket a károkozó végrehajtja. Elsősorban fájlműveletekre, adatok kiszivárogtatására, illetve további tetszőleges programok letöltésére és futtatására vehető rá. Vagyis akár további vírusfertőzéseknek is képes megágyazni.
A biztonsági kutatók szerint a kártékony program vizsgált variánsa egy hiba miatt nem képes minden számára kijelölt feladatot elvégezni. Ugyanakkor könnyen elképzelhető, hogy ezt a programozói hibát a vírusírók gyorsan orvosolják majd, és a következő verzió több kockázatot hordoz majd.
-
A FreeRDP-hez öt patch vált elérhetővé.
-
A Dell biztonsági frissítést adott ki a Custom VMware ESXi-hez.
-
A Google kritikus veszélyességű sebezhetőségeket orvosolt a Chrome webböngésző kapcsán.
-
Az IBM QRadar SIEM-hez egy biztonsági javítás érkezett.
-
A Fortinet FortiNAC-F kapcsán egy biztonsági hibára derült fény.
-
A Firefox legújabb kiadása számos sebezhetőséget orvosolt.
-
A CrushFTP fejlesztői egy biztonsági rést foltoztak be.
-
A GNU C Library kapcsán egy veszélyes biztonsági résre derült fény.
-
A Microsoft Edge legújabb verziója számos sebezhetőséget szüntet meg.
-
Kritikus fontosságú hibajavítás vált elérhetővé a ChromeOS-hez.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.