free download 78 travel guides written by experts

Deturnarea obiectelor COM: calea discreta a persistentei

Analiza unui nou mecanism de persistență in the wild

Experții G Data SecurityLabs au descoperit un nou instrument de administrare de la distanță, pe care l-au numit COMpfun. Acesta suportă versiuni pe 32-biți și 64-biți ale sistemelor de operare până la Windows 8. Caracteristicile sunt destul de comune instrumentelor actuale de spionaj: gestionarea fișierelor (download și upload), screenshot-uri, funcționalități Keylogger, posibilitatea executării codurilor și multe altele. Folosește HTTPS și o criptare asimetrică (RSA) pentru a comunica cu serverul de comandă și control. Marea noutate este mecanismul de persistență: malware-ul deturnează un obiect COM (Component Object Model) legitim pentru a fi injectat în procesele unui sistem compromis. Iar ceea ce este remarcabil, această acțiune de deturnare nu are nevoie de drepturi de administrator. Cu acest instrument de administrare de la distanță, atacatorii ar putea spiona un sistem infectat pentru un timp îndelungat, datorită detectării dificile a fraudei și mecanismului de persistență foarte avansat!

Mai multe informații sunt disponibile pe blogul G Data Software:
https://blog.gdatasoftware.com/blog/article/new-frameworkpos-variant-exfiltrates-data-via-dns-requests.html.

Bucuresti, 30.10.2014
{mosloadposition user9}

Leave a Reply

Your email address will not be published. Required fields are marked *