A Rombertik trójai először virtuális rendszerekre, illetve a sandbox környezetekre utaló jeleket keres, és csak akkor fertőz, ha biztonságban érzi magát.

A Biztonságportál két olyan vírust is bemutatott, amely igencsak megnehezíti a vírusvédelmek – és a vírusvisszafejtők – dolgát.

Az egy hónapja felfedezett Dyre Wolf nevű támadás például képes megkerülni a kétfaktoros azonosításra épülő védelmi vonalakat – írta az IT-biztonsággal foglalkozó portál összefoglalójában. A Dyre nevű trójai, melynek legújabb variánsát a Seculert kutatói elemezték, könnyedén átverte a sandbox technológiák által jelentett védelmet. A trójai ugyanis felismeri az ellene védelmet nyújtó környezeteket. A Dyre az akcióba lépése előtt lekérdezi, hogy hány processzormag van a rendszerben. Ha csak egy magot észlel, rögtön leáll, mert azt feltételezi, hogy egy sandboxban fut.

Itt azt használták ki a kutatók, hogy a számítógépek többségében már legalább kétmagos  processzorok dolgoznak, ám a sandbox rendszerek általában csak egy magot használnak, hogy spóroljanak az erőforrásokkal.

A Cisco egy fejlettebb módszert is talált

A Rombertik nevű trójai még hatásosabb módszert használ. Mint azt a Biztonságportál írja, a kártevő módszereit a Cisco térképezte fel.

A Rombertik e-mailek mellékleteként terjed. Mielőtt azonban munkába lépne, gondosan feltérképezi a fertőzendő rendszert. Többféle algoritmust is használ ahhoz, hogy kiszűrje a virtuális rendszerekre, illetve a sandbox környezetekre utaló jeleket. Csak akkor dekódolja magát és fertőz, ha nem érzékel problémás körülményt. Ennek során azonban még egy ellenőrzési kört lezavar: ellenőrzi a memóriát, hogy vannak-e benne vírusdetektálásra használatos komponensek. És ha minden tiszta, csak akkor kezdi el a tényleges tevékenységét: az adatlopást, kémkedést.

Aktívan lép fel a védelmi rendszerek ellen

A Rombertik komoly fennakadásokat okozhat a víruselemzők által használt környezetekben, ugyanis nem csak át akar csúszni a védelmi rendszereken, hanem azokat meg is bolygatja.

Először is beveti a "tétlenségi"  trükköt, vagyis azt a régóta használt módszert, hogy egy ideig lappang. Ehhez azonban nem a sleep parancs kiadásával teszi, azt ugyanis az újabb sandoboxok már felismerik. Ehelyett azt csinálja, hogy 960 millió (!) alkalommal véletlenszerű adatokat ír be a memóriába. Ez azt eredményezi, hogy ha az elemzőrendszer naplózza a változásokat, akár 100 gigabájt méretű naplóállomány is keletkezhet ebből, ami nem kezelhető hatékonyan.

A Rombertik fertőzési folyamata

Ha a Rombertik a látszólagos tétlensége után megbizonyosodott arról, hogy virtuális környezetbe vagy sandboxba került, rögtön megpróbálja felülírni az MBR-t (Master Boot Record), majd újraindítja a virtuális gépet, amit ezáltal használhatatlanná tesz. Ha nem fér hozzá az MBR-hez, akkor kitöröl minden állományt a felhasználók mappáiból.

Mindössze 28 kilobájtnyi része dolgozik

A Rombertik teljes mérete 1264 KB, a működéséhez szükséges kódok (payloadok) azonban mindössze 28 kilobájtot tesznek ki. A kártevő 97 százaléka ugyanis csupán arra szolgál, hogy ártalmatlan kódok közé rejtse az ártalmas összetevőit. A Cisco szakértői 75 képállományt és 8000 nem használt függvényt találtak a kódban.

Biztonság

Nincs megállás, a Marsot is elkezdtük teleszemetelni

Eddig 7 tonnányi hulladékot sikerült elhinteni a vörös bolygón, ami egyelőre nem sok, de már most is érdemes odafigyelni rá.
 
Hirdetés

A munkaerő képzése a vállalat sikerének egyik záloga

A piaci versenyben az a cég tud élen maradni, amely lépést tart a fejlődő technológiával. Ez azonban csak megfelelően képzett alkalmazottakkal lehetséges.

Ahogy megindult az IT-szakemberekért a harc a munkaerőpiacon, úgy váltak egyre szofisztikáltabbá a képzést végző intézmények szolgáltatásai.

a melléklet támogatója a Green Fox Academy

A felmérésekből egyre inkább kiderül, hogy az alkalmazottak megtartása vagy távozása sokszor azon múlik, amit a szervezetük nem csinál, nem pedig azon, amiben egymásra licitál a többi munkáltatóval.

Ezért fontos számszerűsíteni a biztonsági kockázatokat

Az EU Tanácsa szerint összeegyeztethető a backdoor és a biztonság. Az ötlet alapjaiban hibás. Pfeiffer Szilárd fejlesztő, IT-biztonsági szakértő írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizenegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2022 Bitport.hu Média Kft. Minden jog fenntartva.