Controle remoto seguro para desktops convencionais e virtuais
O pesquisador de segurança Brandon Dixon usou VirusTotal ferramenta de análise de malware da Google para espionar o que ele diz são chineses e iranianos equipes de hackers de elite patrocinados pelo Estado.
Dixon ( daveaitel ) usou a versão paga do VirusTotal para assistir como um subgrupo do grupo hacker chinês Comment Crew e uma multidão iraniano sem nome desenvolvido, testado e re-trabalhado seu malware para passar sob os radares dos mais populares anti-vírus do mundo plataformas.
Desde 2009 Dixon, CEO da Immunity, descobriu erros deixados em malwares testados contra o serviço de inteligência e usada adquirida com suas façanhas para salvar vítimas visadas por grupos.
Ele tem sido conhecido nos círculos de segurança que VirusTotal e serviços de testes semelhantes são usados por vxers para testar a eficácia de seu malware antes de impingir-lo sobre as vítimas, mas o uso de Dixon da interface de programação de aplicativos pagos para identificar agressores é romance.
O pesquisador observou em um longo documento , criado para ajudar a indústria de segurança, que uma série de VirusTotal ajustes e técnicas de análise poderia mudar o foco do serviço Google de identificação de malwares para os atacantes de identificação.
"Através de meios de programação, é possível rastrear de forma recursiva e extrair todos [VirusTotal] histórico de envio de um arquivo em um formato de dados estruturado, que podem ser armazenados com os resultados do API privado para análise local", escreveu Dixon. "A estrutura de dados resultante faz com que o foco em que apresentou o arquivo e não o arquivo em si."
Por volta de novembro 2012 Dixon encontrado um subconjunto de comentário tripulação tinha ofuscado com sucesso o seu malware, mas, em seguida, enviá-lo para uma organização-alvo não perceber que ele continha erros de código. O malware foi um dos mais de 100 mercadorias diferentes, testadas através VirusTotal.
Os atacantes têm desde 2009 foi pego atirando resultante ware espionagem NetTraveler relatado pela Kaspersky em 2013 para ser a atacar uma série de empresas na aeronáutica, gás, petróleo e do nuclear.
Dixon disse que o grupo tinha mais recentemente alvo de um jornal e comprometido conta de e-mail de um jornalista em que, posteriormente, enviou email infectado com um dos contatos dos repórteres.
"Não está claro por que os atores envolvidos no grupo NetTraveler fazer upload de arquivos para o VirusTotal, mas ao fazê-lo, eles se tornaram a melhor fonte de informação quando o controle do grupo", disse ele.
"Atores associados NetTraveler permanecer ativo dentro VirusTotal e upload em uma base diária."
O pesquisador não teve trabalho antes de ir para que ele desenvolveu uma série de rótulos e técnicas para distinguir os atacantes de vítimas e fornecedores de segurança.
Atacantes (atores) destacou-se, em parte, porque muitas vezes eles apresentadas, alteradas e re-submetidos seus produtos para determinar as taxas de detecção anti-vírus ao longo do tempo.
A pontuação detecção foi criado com base nestes e outros padrões que indicam a probabilidade de um apresentador abrigar intenção maliciosa.
Dixon é o conteúdo para revelar seus métodos para o público e os seus inimigos, lembrando que ele já tinha dados suficientes para investigar novos ataques.
"Quando eu comecei a fazer esse trabalho, ele estava de volta antes VirusTotal tinha todos os dados que eles fizeram agora e para o melhor de meu conhecimento, antes que alguém pensou para encontrar os bandidos através de meios automatizados e em grande escala. Hoje, eu tenho mais bad guy atividade, então eu posso segurar e acho que é finalmente tempo para deixar o resto da comunidade no segredo VirusTotal. " ®
Nenhum comentário:
Postar um comentário