Kumpulan penggodam yang terkenal dikenali sebagai Platinum, sekali gus mendapat "maju" dalam label ancaman maju (APT) yang maju, telah membangunkan ancaman keselamatan pintu belakang yang menyembunyikan secara jelas pada sistem Windows 10. Kumpulan APT Platinum, yang juga dikenali sebagai TwoForOne, dikatakan mempunyai sokongan negara-negara dan telah beroperasi secara aktif selama sepuluh tahun terakhir sekurang-kurangnya. Eugene Kaspersky telah mengatakan bahawa Platinum adalah "salah satu pelakon APT paling maju teknologi." Penemuan Windows 10 Trojan backdoor, yang bernama Titanium selepas kata laluan yang membuka kunci salah satu arkib yang boleh dijalankan dalam rantaian jangkitan, hanya ancaman terkini untuk muncul dari kumpulan ini sentiasa berubah.
Titanium Windows 10 backdoor
Sekeping malware APT yang merosakkan dan berteknologi tinggi telah ditemui oleh penyelidik di penjual keselamatan Kaspersky semasa analisis aktiviti Platinum APT baru-baru ini. Pintu belakang Titanium itu sendiri adalah tindakan terakhir dari urutan jangkitan rumit. Vektor jangkitan difikirkan menggunakan kod berniat jahat di dalam laman web intranet tempatan, tetapi urutan tujuh langkah sebenarnya sendiri adalah sama dalam setiap kes yang dianalisa oleh penyelidik.
Pertama, terdapat penggunaan eksploitasi yang mampu melaksanakan kod sebagai pengguna "SYSTEM". Fikirkan ini sebagai sama seperti admin dari segi keistimewaan tetapi digunakan oleh sistem operasi Windows 10 dan perkhidmatan yang berjalan di bawahnya. Bagi kebanyakan maksud dan tujuan, SYSTEM adalah untuk Windows manakala Root adalah untuk Linux.
Ini diikuti oleh shellcode, secara harfiah kod yang memulakan shell arahan untuk melaksanakan senarai arahan, disuntik ke dalam proses winlogon.exe. Analisis Kaspersky mengesahkan bahawa pada masa ini tidak diketahui bagaimana kod shell disuntik. Apa yang diketahui, ialah kod muat turun muat turun; pada gilirannya, ini melaksanakan langkah tiga dalam urutan, muat turun arsip pengekstrakan diri (SFX) yang mengandungi skrip pemasangan tugas Windows.
Arkib SFX, dilindungi oleh kata laluan, kemudian membuka untuk mendedahkan pemasang Trojan backdoor itu sendiri. Ke langkah lima, yang menjalankan skrip pemasang yang memulakan fasa enam, pendaftaran "loader" .dll yang berpura-pura menjadi perkhidmatan bantuan perisian penciptaan DVD yang sah. Dan akhirnya, pintu belakang itu sendiri.
"Titanium menggunakan beberapa teknik canggih, seperti penyulitan, steganografi dan malware tanpa sengaja, untuk cuba menyembunyikan kegiatannya daripada produk anti-virus," kata jurucakap Kaspersky, "ia juga menggunakan eksploit untuk menyuntikkan muatannya ke dalam proses yang berjalan dengan sistem keistimewaan. "Dalam kes Titanium, perisian penciptaan keselamatan dan DVD bersama-sama dengan pemacu audio adalah antara proses yang meniru untuk kekal diam di setiap langkah.
Ini bukan ancaman Windows pertama untuk menyembunyikan secara jelas dengan menggunakan strategi yang tidak bertanggungjawab; malware "Duke Besar Neraka" menggunakan metodologi manusia yang tidak kelihatan sama seperti serangan zombie Nodersok. Walau bagaimanapun, menggabungkan binari hidup-luar-tanah (LOLBins) yang berasal dari sistem itu sendiri dengan penyulitan dan steganografi yang ditambah, di mana Titanium menyembunyikan data arahan dan kawalan dalam fail imej, mendedahkan bagaimana kompeten teknikal kumpulan serangan ini.
Mengurangkan ancaman keselamatan backdoor Titanium
Kecuali anda menjalankan jenis penyelesaian keselamatan gred korporat yang memantau rangkaian untuk penunjuk tingkah laku seluruh sistem serangan yang disasarkan, kemungkinan Titanium dapat membuatnya ke sistem anda tanpa pengesanan. Walaupun saya telah memberi tumpuan kepada Windows 10 dalam pelaporan saya, jurucakap Kaspersky mengatakan bahawa "ancaman APT Titanium yang baru menjejas sistem dengan mana-mana Windows OS moden," untuk menambah kesengsaraan. Pengguna Linux dan macOS jelas seperti Kaspersky mengatakan bahawa Titanium hanya dilaksanakan pada sistem Windows.
Walau bagaimanapun, berita gembira datang pada dua bidang. Pertama, penyelidik Kaspersky mengatakan bahawa "kami tidak mengesan sebarang aktiviti semasa yang berkaitan dengan Titanium APT," yang mungkin kerana Platinum belum memulakan kempen berasaskan Titanium pada masa itu, atau ia menyembunyikan dengan baik sehingga tiada siapa yang mengesan kempen yang aktif. Kecerdasan ancaman akan mencadangkan bahawa banyak serangan Platinum telah tidak dapat dikesan selama bertahun-tahun, memandangkan "P" dalam moniker APT. Kedua, dan memberi jaminan kepada pengguna sekurang-kurangnya, adalah kumpulan Platinum yang mengkhusus dalam serangan yang sangat disasarkan seperti kebanyakan pelaku APT. Dalam kes Platinum, sejarah mencadangkan sasaran kerajaan berada di crosshair, bersama dengan pertubuhan-pertubuhan yang berkaitan dalam rangkaian bekalan yang dapat membantu menyusup mereka. Terutama, nampaknya, sasaran-sasaran kerajaan di negara-negara APAC.
Titanium adalah seperti yang saya nyatakan, jauh dari satu-satunya malware yang boleh menyusup sistem dengan cara yang senyap dan memberikan kawalan kepada pelaku ancaman, maju dan berterusan atau sebaliknya. Oleh itu, pengguna tidak keluar dari hutan di sini; memastikan kebersihan siber yang baik, dari segi mengklik pautan atau memuat turun lampiran, diamalkan setiap masa. Juga, pastikan kedua-dua sistem Windows anda dikemas kini, walaupun terdapat isu-isu yang dipublikasikan dengan baik dengan kemas kini Windows terlambat, dan penyelesaian pilihan keselamatan anda juga.
Sumber: http://bit.ly/2q9EvnA