Mostrando postagens com marcador artigos. Mostrar todas as postagens
Mostrando postagens com marcador artigos. Mostrar todas as postagens
sábado, 8 de setembro de 2012
Engenharia Reversa de Malware
Banker ou “banqueiro” representa uma nova modalidade de crime. Os Bankers utilizam meios para roubo de informações bancárias programando trojans e utilizando de quadrilhas para aplicar seus atos ilícitos, como saques, compras e transferências indevidas de conta bancária das vítimas. O aumento de ataques utilizando trojans que rouba dados está crescendo assustadoramente, logo devemos ficar a atentos aos mecanismos de defesas, como firewals, bem configurados, anti-virus e políticas de programação de software adequadas.
A linguagem de programação mais usada para o trojan criado pelos Bankers Brasileiros, conhecida como Keyllogers Bankers é a Borland Delphi e Microsoft Visual Basic. Estes trojans são espalhados geralmente em redes sociais, e-mails e downloads de arquivos. Segundo pesquisas o Brasil é líder em desenvolvimento deste tipo de trojans e existe um latente comercio da venda dos trojans com preços variados que passam de R$ 1.000,00. Portanto, todo tipo de informações relevantes capturadas na internet , como contas de usuários são comercializada pelas quadrilhas. Várias técnicas são aplicadas, como redirecionamento de sites, defacer, etc. Uma das maiores operações ao combate, desta modalidade de crime foi a famosa operação Cavalo de Tróia executada pela Polícia Federal,que prendeu mais de 50 Crackers em todo o Brasil.
Devido, ao constante desenvolvimento dos trojans, nada melhor que aplicarmos engenharia reversa, afim de entendermos a estrutura do trojan e seus modos operantes. Creio que só poderemos aplicar as melhores otimizações dissecando a estrutura binária do sistema malfeitor, de forma a compreender os pormenores da ferramenta analisada em amplitude.
Seque alguns vídeos que encontrei sobre engenharia reversa com trojan-banker apresentado no Hack’n Rio 2011, muito bem detalhado e vale a pena conferir.
Abraços a todos.
Assista os vídeos: Engenharia Reversa de Trojan-Banker
By: Gerson Raymond
Técnico em Contabilidade, Técnico em Eletrônica, Técnico em Telecomunicações, Bacharel em Ciência da Computação, Administrador de Redes Linux (CentOS, XEN, Zabbix, Asterisk/Elastix) e Pós-Graduando em Segurança em Tecnologia da Informação – UNIVERSIDADE MACKENZIE – SP.
Homepage: http://www.grsecurity.com.br
Os cibercriminosos usam a engenharia social para estender ciclo de vida de malware
Usuários de smartphones Android continuam a ser um alvo lucrativo como a plataforma tem actualmente 59 por cento do mercado global e está a caminho de ficar o sistema operacional mais enviados móvel até 2016, de acordo com a AVG.
Grande parte deste novo malware também foi identificado como originário da China e direcionada aos usuários de lá e em mercados vizinhos, refletindo o fato de que este é agora o mercado mais importante do mundo para smartphones, com mais de um milhão de usuários da web móvel.
A conexão China
Este quarto viu a introdução do bootkit primeiro Android, "DKFbootkit ', que se disfarça como uma versão falsa de uma aplicação legítima e danos código do smartphone kernel do Linux, substituindo-o com código malicioso. Os usuários são induzidos a clicar em 'OK' para as notificações que o malware oferece, dando-lhe permissão para adicionar-se a seqüência de inicialização e primavera na vida uma vez que o dispositivo é ativado.
No enraizamento do dispositivo, este ataque transforma o smartphone em um zumbi que está totalmente sob o cibercriminoso de controle, o que torna uma séria ameaça para os usuários do Android. Este ataque é espalhado sobre o terceiro mercado de aplicações partido - e não o jogo oficial do Google - na China.
Os autores de malware também spam China, Japão, Coréia do Sul, Taiwan e Estados Unidos, com mensagens de Trojan-infectados e-mail relacionados a questões políticas em torno do Tibete. Estes foram liberados na parte de trás de segurança do Microsoft 'Patch Tuesday' bulletin4 com os autores correndo para aproveitar a "janela de oportunidade" lapso de tempo entre o lançamento do patch e quando os usuários foram capazes de implementá-lo. O anexo de e-mail contém um arquivo executável, incorporado criptografado que recolhe informações sobre o usuário sensíveis, tais como senhas, e é capaz de baixar malware adicional para instalação de key logger ou para obter uma configuração de novo trojan.
Yuval Ben-Itzhak, CTO da AVG, disse: "Em nossa experiência, um sistema operacional atrai a atenção de criminosos, uma vez que assegura cinco partes por cento do mercado, uma vez que atinge 10 por cento, vai ser activamente atacado. Não é surpresa, portanto, que nossas investigações descobriram um aumento ainda mais no malware visando smartphones Android dada a sua popularidade sustentado, com novos ataques focados no enraizamento os dispositivos para dar cibercriminosos controle total. O que há de novo neste trimestre é o aumento significativo destas ameaças provenientes da China. "
O fim do antivírus?
Para todo o sensacionalismo em torno da descoberta do Stuxnet em 2010 e 2012 seu equivalente, Chama, o consumidor médio nunca foi realmente um alvo para qualquer malware. Enquanto rumores de ataques cibernéticos circularam sobre ambos, Chama não era realmente um patch da sofisticação do Stuxnet em termos de criação de malware e, em particular, as técnicas utilizadas na carga não foram muito impressionante. A indústria de segurança já está adaptado à natureza inesperada de ameaças com detecção de assinatura tradicional que é apenas uma camada dentro de uma solução de segurança multi-facetado.
Golpes de consumo
A versão mais recente da massa ataque de injeção de SQL LizaMoon neste trimestre engana os usuários a baixar um cavalo de tróia ou algum software não autorizado através da exploração de interesse humano e se escondendo dentro inexistentes vídeos de celebridades do sexo ou sites de antivírus falsos. Injetar código malicioso em sites legítimos, mas vulnerável, este ataque teve como alvo o Mozilla Firefox ® e navegador Internet Explorer da Microsoft com dois vetores de ataque.
No Firefox, os usuários são atraídos por vídeos picantes de socialite Paris Hilton e Emma Watson atriz e pediu para atualizar sua instalação do Flash, a fim de exibi-los. Os usuários nunca chegar a ver o vídeo como o malware instalado um Trojan disfarçado de atualização do Flash.
No Internet Explorer, os usuários recebem uma solicitação aparentemente de um site de antivírus que afirmam ter encontrado malware em seu computador. Eles são incentivados a fazer o download do malware e, uma vez instalado, para "comprá-lo", que seria, então, simplesmente remover o malware em troca de pagamento.
Caso a vítima decidir não comprar, nag telas que aparecer até o ladino foi removido da máquina. Na versão mais recente, o malware foi atualizado para permitir 'drive-by downloads ", onde as vítimas precisam apenas de visitar o site para ser infectado e ele não é mais o suficiente para fechar a página da web para ser seguro.
Rovio aplicação do "Espaço Angry Birds 'também foi linha de frente para golpes de consumo neste trimestre. Usando os mesmos gráficos que a versão de legítima, uma versão totalmente funcional Trojan-infectado foi carregado para lojas de aplicativos não oficiais Android. Ele usa o GingerBreak explorar a raiz do dispositivo, ganhando funcionalidade de Comando e Controle para comunicar com o servidor remoto para baixar e instalar malware adicional, funcionalidade botnet, e para permitir a modificação de arquivos e lançamento de URLs.
Fonte: http://www.net-security.org/malware_news.php?id=2199
Assinar:
Postagens (Atom)