Két éve garázdálkodik egy vírus, amit csak most sikerült megfogniuk a FireEye munkatársainak. A Google biztonsági kutatócsapata, a Project Zero viszont a FireEye egyes rendszereiben talált egy súlyos sérülékenységet.

Átment a víruskeresőkön

A FireEye találta meg a LATENTBOT nevű trójai, amely legalább két éve terjed – főleg az USA-ban, az Egyesült Királyságban és Dél-Koreában, de már megtalálták Kelet-Európában, például Lengyelországban is –, ám mindeddig nem ismerték fel a víruskeresők, legjobb esetben is a semmitmondóan Trojan.Generic-ként jelezték, hogy esetleg gyanús lehet. A trójai főleg a pénzügyi szektorban dolgozó vállalatokat kedvelte. (A két év persze semmi a Regin teljesítményéhez képest, amely legalább hat évig dolgozott, mire felfedezték.)

A LATENBOT két fázisban fertőz. Az első fázis a terjesztés: a felhasználó kap egy speciálisan szerkesztett megtévesztő levelet, melyben fertőző Word dokumentumok vannak. Ha megnyitja a mellékletet, beindul a második fázis: lefut egy exploit, amely feljuttatja a LATENBOT működéséhez szükség fájlokat a rendszerre.

Innentől kezdve a támadó rejtett, VNC-alapú (Virtual Network Computing) kapcsolatokat tud létrehozni, törölheti a master boot recordot, ha adatokat akar lopni, telepítheti a Pony malware-t, amit több nagyszabású adatlopási akcióban is használtak már sikeresen, zárolhatja a fertőzött számítógépet vagy csak elrejtheti a telepített alkalmazásokat.

Elsődleges célja az adatszivárogtatás. Ügyesen tud elrejtőzni a memóriában, és minden megszerzett adatot kódol. Képes elrejteni a vezérlőszervereivel folytatott kommunikációját, ezért a hálózati szintű vagy az átjárókra telepített védelmekkel is nehéz megfogni. Mivel moduláris felépítésű, egyszerű bővíteni a képességeit.

A FireEye is horogra akadt

A Project Zero csapat (a Google biztonsági kutatócsoportja) viszont a FireEye termékeiben talált súlyos hibát. A kritikus sérülékenység ebben az esetben azért is különösen kínos, mert a FireEye legfőbb ügyfelei nagyvállalatok és kormányzati szervek. Ennek megfelelően a cég roppant gyorsan reagált, szinte azonnal adott átmeneti javítást, majd pár napra megszületett a végleges megoldást tartalmazó frissítés is.

A hiba több hálózati appliance-ét is érint: a webes és a belső hálózati forgalmat szűrő Network Security NX sorozatot, az e-mailek szűrését végző EX sorozatot, a malware-elemzést végző AX sorozatot, valamint a fájlok tartalmi vizsgálatát végző FX sorozatot.

A legfőbb gond az, hogy ezek az eszközök kiemelt hozzáférésűek, így aki ezek fölött át tudja venni az irányítást, gyakorlatilag az adott hálózat jelentős részéhez hozzáférést szerezhet például a távoli kódfuttatás lehetőségének kihasználásával.

A hibát egyébként az NX 7500 Malware Input Processor részében találták meg. A problémát az okozza, hogy az eszköz nem használ sandbox technikát a viszgálandó fájlok kibontásához és ellenőrzéséhez. Az egyik kódvisszafejtő rész viszont speciális tömörítvényekkel rávehető akár tetszőleges kód futtatására is. Így a sandbox technika hiányában gyakorlatilag a teljes eszközhöz hozzá lehetett férni illetéktelenül a jogosultsági szint emelése után.

A hiba frissítéssel javítható.