آنتی ویروس های چینی malwareهای خودشان را نشان نمی دهند!

پس از یک بررسی مشترک، چین چندین تروجان را در گوشی های توریست ها نصب کرد و چندین شرکت آنتی ویروس شروع به پرچم گذاری نمود. با این وجود، چندین شرکت چینی این کار را انجام ندادند.

چندین شرکت امنیت سایبری چینی با اشاره به اینکه در محصولات ضد ویروس خود، یک تکه تروجان را پرچمدار می کنند، می توانند پیام های متنی قربانی، ورودی های تقویم، سیاهههای مربوط به تماس و مخاطبین را دانلود کنند و تلفن خود را برای مجموعه ای از فایل های خاص اسکن کنند. بدیهی است که بدافزار توسط مقامات چینی در مرز کشور استفاده می شود.

بدافزار، به نام BXAQ یا Fengcai، تمرکز همکاری مادربورد، Süddeutsche Zeitung، گاردین، نیویورک تایمز و پخش تلویزیونی آلمانی NDR بود. این تحقیقات نشان می دهد مقامات چینی نرم افزارهای مخرب را بر روی تلفن های گردشگران نصب کرده اند که از نقطه مشخصی از مرز کشور به منطقه سین کیانگ عبور کرده اند. چین همچنان به مردم مسلمان محلی اویغور در سین کیانگ به شکل های شدید نظارت و همچنین اعمال آنها در اردوگاه های آموزشی مجدد آموزش می دهد.

تبلیغات

به عنوان بخشی از این همکاری، مادربرد برنامه BXAQ را روی GitHub منتشر کرد. در پاسخ، چندین شرکت آنتی ویروس، از جمله Avast، McAfee، Check Point، Symantec و Malwarebytes شروع به صراحت این برنامه را به عنوان بدافزار پرچم گذاری کردند.

براساس نتایج حاصل از VirusTotal، موتور جستجوی موتور جستجوی گوگل متعلق به شرکت گوگل، شرکت های چینی و محصولاتی نظیر Baidu، Qihoo، Jiangmin، Rising و Tencent همچنان این تروجان را پرچم نمی کنند.

آیا شما موارد دیگری از نرم افزارهای دولتی را می شناسید؟ ما از اینکه ازت خبر داشته باشیم خوشحال میشویم. با استفاده از یک تلفن یا رایانه غیرفعال، می توانید با Joseph Cox امن در سیگنال در +44 20 8133 5190، Wickr در josephcox، چت OTR در jfcox@jabber.ccc.de یا ایمیل joseph.cox@vice.com تماس بگیرید.

هر کس آزاد است برای آپلود یک فایل به VirusTotal برای اسکن. سپس VirusTotal فایل را از طریق محصولات مختلف آنتی ویروس پردازش می کند و سپس نمایش می دهد که آیا فایل را به عنوان مخرب شناسایی می کند و تحت چه نام پرونده را پرچم می کند. سیستم کامل نیست، اما به طور کلی نشان می دهد که یک تکه از پوشش های مخرب در سراسر صنعت است.

جایی که یک شرکت امنیتی سایبری در آن قرار دارد می تواند بر محصولاتش تاثیر بگذارد یا تحقیقاتی که شرکت تولید می کند. در سال 2014، رئیس شرکت امنیت هلندی Fox IT، به Mashable گفت که شرکتش و دیگران جزئیات هک GCHQ را منتشر نکرده اند تا "دخالت در عملیات NSA / GCHQ را نداشته باشند." کوین مندیا، مدیر عامل شرکت FireEye، قبلا به Cyberscoop گفت پیش از انتشار یک گزارش عمومی در مورد نرم افزارهای مخرب، آن را به مقامات اطلاعاتی از اتحاد پنج چشم، که از ایالات متحده، انگلیس، استرالیا، نیوزیلند و کانادا تشکیل شده است، نوک می کنند. وی گفت که محصولات این شرکت هنوز هم پنج برنامه مزاحم را حذف می کند.

ارتباط FBI با یکی از هکرهای سازنده malware در وب تاریک

اداره تحقیقات فدرال (FBI) هکرها را از جمله بنیانگذار بازار معدن Cryptocurrency NiceHash تحت تعقیب قرار داده است که در زمینه ترویج و توزیع نرم افزارهای مخرب از طریق Darko، بزرگترین انجمن تاریک وبسایت است.

مقامات می گویند Darkode یک سازمان جنایتکار بود که توسط یک انجمن اینترنتی آنلاین حفاظت شده با رمز عبور طراحی شده بود. این توسط "هکرهای بین المللی سطح بالا" و سایر مجرمان سایبری برای خرید، فروش، تجارت و به اشتراک گذاری ابزارهای هک، اطلاعات و ایده های مرتبط استفاده شده است.

آمریکایی توماس مک کورمک، اسپانیایی فلورنسیو کاررو رویز، و اسلوونیان مربی Leniqi و متیاز اسکورجان، هرکدام از آنها را به اتهام توطئه رکوردی و همچنین توطئه برای متعهد شدن به اعتصابات بانکی و بانکی متهم کرده است.

دادگاه عمومی وزارت دادگستری روز 5 ژوئن تأیید کرد که هر اتهام توطئه رکورد شامل اخاذی، شناسایی سرقت و دسترسی به تقلب در دستگاه است.

مهمتر از همه، Matjaz "iserdo" Skorjanc خالق بازار معدن Cryptocurrency NiceHash است. Skorjanc همچنین نرم افزارهای مخرب را ایجاد کرد که بیش از یک میلیون دستگاه را آلوده کرد تا یک botnet قابل توجهی را ایجاد کند - یکی از بزرگترین تا کنون ثبت شده است.

گفته می شود Skorjanc و خدمه او این بدافزار را با نرم افزارهای تبلیغاتی منتشر کرده اند که ادعا می کنند در صورت بروز آلودگی به دیگر کامپیوتر ها، اعتبار نامه های بانکی را سرقت می کنند و حتی حملات DDoS را راه اندازی می کنند.

اعضای Darkode ادعا از مهارت ها و محصولات یکدیگر استفاده می کنند تا کامپیوتر ها و دستگاه های الکترونیکی قربانیان در سراسر جهان را با نرم افزارهای مخرب آلوده کنند، و به این ترتیب این دستگاه ها دسترسی و کنترل می کنند.

جالب اینجاست که Skorjanc در حال حاضر تقریبا پنج سال در زندان برای ساختن botnet Mariposa خدمت کرده است و در اواخر سال 2017 منتشر شد.

آخرین اتهامات FBI مربوط به تلاش های او (و همدستانش) برای انتشار نرم افزارهای مخرب از طریق انجمن هک کردن Darkode است.

اگر متهم به رعایت توطئه برای متعهد شدن به تقلب در بانک باشد، هر فرد متهم به خدمت حداکثر 20 سال زندان است توطئه برای انجام تعهدات بانکی و بانکی حداکثر 30 سال است.

اما حتی اگر مقامات بتوانند آنها را بگیرند. تا کنون، آنها موفق به دستگیری فقط یکی از چهار فراری شده اند، یعنی توماس مک کورمک آمریکایی.

Skorjanc و همکارانش دو تا هنوز در حال اجرا هستند.

بانک نهگداری کدهای برنامه نویسی الوده به Malware شدند

بدافزارها در پشت سر گذاشتن میلیاردها دلار در حساب بانکی و کارت اعتباری هستند.

نگاهی نزدیک به حصار بدافزار بدافزار FIN7 - نتیجه تقریبا 500 کل ساعت از تجزیه و تحلیل در سراسر 100،000 خط کد و ده ها تن از فایل های دوتایی - نشان می دهد که نرم افزارهای مخرب بسیار پیچیده است - پیچیده تر از انتظار می رود. اگر شما بخواهید یک کادیلاک در دریا چرخ دستی های گلف داشته باشید.

این بر اساس تجزیه و تحلیل محققان FireEye است که گفته است که بدافزار (که در صدها و نه هزاران حمله سایبری موفق و مؤثر مالی در چهار سال گذشته مورد استفاده قرار گرفته است) دارای یک روش کاملا متفاوت برای فرماندهی و کنترل (C2 ) ارتباطات از آنچه معمولا در طبیعت دیده می شود.

دقیقا جدید نیست

برای روشن شدن: این واقعیت که کد منبع یافت نشد جدید نیست. FireEye قبلا در ماه اکتبر 2018 در مورد یافته های کد منبع خود صحبت کرده بود (یک PDF کامل نیز در دسترس قرار گرفت) - اما تجزیه و تحلیل آن در این هفته بر روی اکتشافات محققان استوار است.

جیمز ت. بنت، مهندس معکوس کارکنان در FireEye، به Threatpost گفت: "ما برای اولین بار معکوس چندین نسخه از چندین نسخه کاربناک را مهندسی کردیم." "در آن زمان، ما کد منبع را نداشتیم و گزارش دقیقی برای یک مشتری نوشتیم. ما حدود یک سال بعد حدود دو سال پیش، کد منبع و ابزارهای ابزار VirusTotal را کشف کردیم. ما همه چیز را در آن آرشیو ها بررسی کردیم تا گزارش و اطلاعات موجود و پیشرفتمان را افزایش دهیم. "

مشخص نیست که آیا کد منبع به مدت طولانی دو سال از سوی انجمن امنیتی بزرگ تر شده است یا خیر - Threatpost به شرکت های دیگر رسیده است تا تعیین کنند که آیا دیگر کسی متوجه شده است یا خیر.

اما همانگونه که ترنس جکسون، افسر امنیت اطلاعات ارشد در Thycotic اشاره کرد، ممکن است که آن را به سادگی از طریق شکاف عبور کند.

او به Threatpost گفت: "به نظر می رسد عجیب و غریب است که کد منبع کربناک برای دو سال متوجه نمی شود." با این حال، میلیون ها فایل برای هر هفته برای تجزیه و تحلیل به VirusTotal آپلود می شوند. در تجربه من، نیاز به یک سطح مشخصی از مهارت برای شناسایی Cabanak، که محقق FireEye داشته باشد. "

شگفت زده کربناک

یکی از مهمترین آفرینش های مهندسی معکوس، روز دوشنبه به عنوان اولین سری از چهار قسمت در کد منتشر شد - این واقعیت است که کاربناک یک تابع پردازش پیچیده و پیچیده برای دریافت سفارشات از C2 خود را استخدام می کند.

یک درپوش باغ وحشی یک شناسه فرمان را از سرور C2 دریافت و ارزیابی می کند و با عملکرد درست مورد نیاز برای اجرای فرمان - در قلب خود، یک روش تماس و پاسخ اولیه پاسخ می دهد.

مایکل بیلی، پژوهشگر FireEye، در روزنامه ای که در روز دوشنبه منتشر شد، نوشت: "برای مثال، یک Backdoor ممکن است از یک سرور C2 برای یک فرمان درخواست کند و یک پاسخ را با فرمان ID 0x67 دریافت کند." "تابع اعلان در backdoor شناسه فرمان را در برابر مقادیر مختلف، از جمله 0x67 بررسی می کند که به عنوان مثال می تواند یک تابع را برای پوسته پوسته معکوس به سرور C2 بکشد ... هر بلوک کد بر عهده یک ID فرمان و یا عبور می کند کنترل به کد مربوط به فرمان مناسب را کنترل می کند یا برای شناسایی فرمان بعدی به دنبال آن می رود. "

با این حال، کاربناک "یک جانور کاملا متفاوت است".

بیلی توضیح می دهد: "از طریق مکانیسم ویندوز که به نام" لوله ها "به عنوان وسیله ارتباط و هماهنگی در همه موضوعات، فرآیندها و پلاگین ها تحت کنترل درون دروازه، از آن استفاده می کند.

کاملا مجموعه ای از لوله ها

به عبارت دیگر، زمانی که Carbanak یک فرمان را دریافت می کند، فرمان را بر روی یک "pipe" تعیین می کند. لوله شامل چندین توابع مختلف است که فرمان را پردازش می کند، احتمالا آن را به یک یا چند لوله نام دیگر اضافه می کند، تا زمانی که به مقصد خود برسد فرمان مشخص شده در نهایت مورد استفاده قرار می گیرد. هکر ها موفق شدند دسترسی پیدا کنند

بیلی توضیح داد: "پردازنده های دستورالعمل ممکن است حتی نام لوله خود را برای درخواست داده های بیشتر از سرور C2 مشخص کنند." "هنگامی که C2 سرور داده ها را برمی گرداند، Carbanak نتیجه را به این لوله نام کمکی می نویسد و یک تابع فراخوانی برای کنترل اطلاعات پاسخ به صورت یکپارچه به کار می رود."

نیازی به گفتن نیست، این یک راه بسیار متنوع و انعطاف پذیر برای مدیریت ارتباطات C2 است. و جالب توجه است، آن را نیز اجازه می دهد تا برای ارسال دستورات به نرم افزارهای مخرب با استفاده از یک مشتری محلی، بدون استفاده از شبکه.

معماری لوله تجزیه و تحلیل را مشکل ساخته است - بیشتر از برخورد با دوچرخه. این یک برداشت رادیکال از انتظارات است: یک کد منبع بدافزار معمولا به عنوان راه سریع برای تجزیه و تحلیل نرم افزارهای مخرب در نظر گرفته می شود.

برای "کربناک" "[تجزیه و تحلیل] نیاز به نگه داشتن زبانه برای بسیاری از دیدگاه های مختلف به جداسازی، و نوع نقشه متنی از شناسه های فرمان و نام لوله نام برای توصیف سفر فرمان ورودی از طریق لوله ها و توابع مختلف قبل از رسیدن به مقصد خود "بنت توضیح داد.

بیلی در این باره توضیح داد: "بسته به پروتکل C2 استفاده شده و فرمان پردازش می شود، جریان کنترل می تواند راه های مختلفی را از طریق عملکردهای مختلف بگیرد و تنها برای همگام شدن دوباره و اجرای همان فرمان.