Összefoglaló
A ProxyBack nevű Windows operációs rendszereket támadó kártevő család vált ismertté, melynek eddig több mint 20 variánsát fedezték fel. A kártevő rosszindulatú távoli felhasználók számára hozzáférést biztosíthat a fertőzött rendszerhez, amely felett képes lehet átvenni az irányítást és azt proxy szerverként használni. Utóbbi kihasználásával a támadók képesek lehetnek lehallgatni az arra irányuló forgalmat.
Leírás
A káros szoftver segítségével a támadó az alábbi műveleteket hajthatja végre a fertőzött munkaállomáson:
- Fájlok törlése/le- és feltöltése/futtatása.
- Billentyűleütések logolása.
- Hozzáférés érzékeny adatokhoz.
- Rendszerbeállítások módosítása.
- Alkalmazások futtatása/abortálása.
- A gép botnet-hálózat részeként,
- és proxyszerverként való alkalmazása. (A felfedező Palo Alto szerint a buyproxy.ru proxy szervereket hirdető site-on ilyen, a ProxyBack által létrehozott ál proxy szerverek is találhatók.)
Az alábbi fájlokat hozhatja létre a fertőzött gépen:
%LOCALAPPDATA%[random alphanumeric characters][concatenation of two existing executable files].exe
%LOCALAPPDATA%[random alphanumeric characters][concatenation of two existing executable files].exe
%UserProfile%Application Data[FOUR UPPERCASE LETTERS][EXISTING .EXE FILE NAME][VARIABLE ONE].exe
%UserProfile%Application Data[FOUR UPPERCASE LETTERS]nt[EXISTING .EXE FILE NAME].exe
A regisztrációs bejegyzéseken az alábbi változtatásokat hajthatja végre, amelyek eredményeképpen képes lehet minden rendszerbetöltéskor lefutni:
Kulcs: HKLMsoftwaremicrosoftwindowscurrentversionrun
Érték: “Cryptographic Services Control”
Adat: “%LOCALAPPDATA%[random alphanumeric characters][concatenation of two existing executable files].exe” (pl.: “%LOCALAPPDATA%zyxwinvmicsvc.exe”)
Megkísérelhet kivételt adni a tűzfalhoz:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccessParameters
FirewallPolicyStandardProfileAuthorizedApplicationsList”%UserProfile%Application Data[FOUR UPPERCASE LETTERS][EXISTING .EXE FILE NAME][VARIABLE ONE].exe” = “%UserProfile%Application Data[FOUR UPPERCASE LETTERS][EXISTING .EXE FILE NAME]
[VARIABLE ONE].exe:*:Enabled:Windows DCOM Server Process Launcher”
HKLMsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicy
Az alábbi kiszolgálók felé kísérel meg kommunikációt a 80-as porton:
- solocoufandle.com
- papausafr.com
- bugertwist.com
- creativanalyticks.com
- czonainsit4e.com
- depasistat.com
- drythisworld.com
- hclickmeterg.com
- heljeanvos.com
- iholpforyou4.com
- lancer-moto.com
- markovqwesta.com
- masyaget.com
- mintoolses.com
- nsit4esite.com
- pllsest2.com
- qforumjail.com
- robjertovines.com
- singlearthousse.com
- skyjfasters.com
- sweedfolz.com
- texasgodchang.com
- truedonell.com
- uarushelp.com
- xclotusm.com
Megoldás
- Tartsa naprakészen az operációs rendszert!
- Használjon naprakész vírusírtó szofvert!
- Az eltávolításban segítséget nyújthat:
Windows Defender (Windows 10, Windows 8.1)
Microsoft Security Essentials (Windows 7 and Windows Vista)
Microsoft Safety Scanner
Run Norton Power Eraser (NPE)
Támadás típusa
Information disclosure (Információ/adat szivárgás)Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
Trójai
backdoor
execute arbitrary code
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com
Egyéb referencia: researchcenter.paloaltonetworks.com
Egyéb referencia: www.microsoft.com
