Strona główna Bezpieczeństwo Jak sprawdzić, czy przechowujesz złośliwe oprogramowanie Pinkslipbot

Jak sprawdzić, czy przechowujesz złośliwe oprogramowanie Pinkslipbot

  • Brian Curtis
  • 0
  • 992
  • 32
Reklama

Od czasu do czasu pojawia się nowy wariant złośliwego oprogramowania, który przypomina, że ​​poziom bezpieczeństwa stale rośnie. Trojan bankowy QakBot / Pinkslipbot jest jednym z nich. Złośliwe oprogramowanie, nie zadowalające się pozyskiwaniem danych bankowych, może teraz pozostać i działać jako serwer kontrolny - długo po tym, jak produkt zabezpieczający przestanie działać.

W jaki sposób OakBot / Pinkslipbot pozostaje aktywny? I jak możesz całkowicie usunąć go ze swojego systemu?

QakBot / Pinkslipbot

Ten trojan bankowy ma dwie nazwy: QakBot i Pinkslipbot. Samo złośliwe oprogramowanie nie jest nowe. Po raz pierwszy został wdrożony pod koniec 2000 roku, ale nadal powoduje problemy ponad dekadę później. Teraz trojan otrzymał aktualizację, która przedłuża złośliwą aktywność, nawet jeśli produkt zabezpieczający ogranicza swój pierwotny cel.

Infekcja wykorzystuje uniwersalny plug-and-play (UPnP) do otwierania portów i zezwalania na połączenia przychodzące od dowolnej osoby w Internecie. Pinkslipbot jest następnie wykorzystywany do zbierania poświadczeń bankowych. Zwykły wachlarz złośliwych narzędzi: keyloggery, złodzieje haseł, ataki na przeglądarkę MITM, kradzież certyfikatów cyfrowych, poświadczenia FTP i POP3 i inne. Szkodliwe oprogramowanie kontroluje botnet, który może zawierać ponad 500 000 komputerów. (W każdym razie, co to jest botnet? Czy Twój komputer to Zombie? A co to komputer Zombie? [MakeUseOf wyjaśnia] Czy Twój komputer to Zombie? A co to jest komputer Zombie? [MakeUseOf wyjaśnia] Czy zastanawiałeś się kiedyś, gdzie wszyscy spamu internetowego pochodzi? Prawdopodobnie codziennie otrzymujesz setki spamowanych wiadomości e-mail. Czy to oznacza, że ​​są tam setki i tysiące ludzi siedzących…)

Szkodliwe oprogramowanie skupia się głównie na amerykańskim sektorze bankowym, z 89 procentami zainfekowanych urządzeń wykrytych w bankach skarbowych, korporacyjnych lub komercyjnych.

Źródło zdjęcia: IBM X-Force

Nowa odmiana

Naukowcy z McAfee Labs odkryli nowy wariant Pinkslipbot.

“Ponieważ UPnP zakłada, że ​​lokalne aplikacje i urządzenia są godne zaufania, nie oferuje żadnych zabezpieczeń i jest podatny na nadużycia przez zainfekowane maszyny w sieci. Zaobserwowaliśmy wiele serwerów proxy Pinkslipbot hostowanych na osobnych komputerach w tej samej sieci domowej, a także coś, co wydaje się być publicznym hotspotem Wi-Fi,” mówi McAfee Anti-Malware Researcher Sanchit Karve. “O ile wiemy, Pinkslipbot jest pierwszym złośliwym oprogramowaniem, które wykorzystuje zainfekowane maszyny jako serwery kontrolne oparte na HTTPS, oraz drugim złośliwym oprogramowaniem wykonywalnym, które używają UPnP do przekierowania portów po niesławnym robaku Conficker w 2008 roku.”

W związku z tym zespół badawczy McAfee (i inni) próbują ustalić, w jaki sposób zainfekowana maszyna staje się serwerem proxy. Naukowcy uważają, że istotną rolę odgrywają trzy czynniki:

  1. Adres IP zlokalizowany w Ameryce Północnej.
  2. Szybkie łącze internetowe.
  3. Możliwość otwierania portów w bramie internetowej za pomocą UPnP.

Na przykład złośliwe oprogramowanie pobiera obraz za pomocą usługi Test prędkości Comcast, aby dokładnie sprawdzić, czy dostępna jest wystarczająca przepustowość.

Gdy Pinkslipbot znajdzie odpowiednią maszynę docelową, złośliwe oprogramowanie wydaje pakiet protokołu Simple Service Discovery Protocol w celu wyszukania urządzeń bramy internetowej (IGD). Z kolei IGD jest sprawdzane pod kątem łączności, a wynikiem pozytywnym jest tworzenie reguł przekierowania portów.

W rezultacie, gdy autor złośliwego oprogramowania zdecyduje, czy komputer jest odpowiedni do infekcji, trojan binarny pobiera i wdraża. Jest to odpowiedzialne za komunikację z serwerem proxy serwera sterującego.

Trudne do zatarcia

Nawet jeśli Twój pakiet antywirusowy lub pakiet antywirusowy pomyślnie wykrył i usunął QakBot / Pinkslipbot, istnieje szansa, że ​​nadal służy jako serwer proxy kontrolny dla złośliwego oprogramowania. Twój komputer może nadal być podatny na atak, o czym nie wiesz.

“Reguły przekierowania portów utworzone przez Pinkslipbot są zbyt ogólne, aby można je było automatycznie usuwać bez ryzyka przypadkowych nieprawidłowych konfiguracji sieci. Ponieważ większość złośliwego oprogramowania nie zakłóca przekierowywania portów, rozwiązania przeciw złośliwemu oprogramowaniu mogą nie przywrócić takich zmian,” mówi Karve. “Niestety oznacza to, że komputer może być nadal podatny na ataki z zewnątrz, nawet jeśli produkt antymalware skutecznie usunął wszystkie pliki binarne Pinkslipbot z systemu.”

Złośliwe oprogramowanie zawiera robaki-wirusy, oprogramowanie szpiegujące, złośliwe oprogramowanie itp. Wyjaśnienie: zrozumienie zagrożeń online Wirusy, oprogramowanie szpiegujące, złośliwe oprogramowanie itp. Wyjaśnienie: zrozumienie zagrożeń online Gdy zaczynasz myśleć o wszystkich rzeczach, które mogą pójść nie tak podczas przeglądania Internetu, sieć zaczyna wyglądać dość przerażająco. , co oznacza, że ​​może się replikować samodzielnie za pośrednictwem współużytkowanych dysków sieciowych i innych nośników wymiennych. Według badaczy IBM X-Force spowodowało to blokady usługi Active Directory (AD), zmuszając pracowników odpowiednich organizacji bankowych do pracy offline przez wiele godzin.

Krótki przewodnik usuwania

Firma McAfee wydała Pinkslipbot Control Server Detection Proxy Tool and Port-Forward Removal Tool (lub PCSPDPFRT, krótko mówiąc… żartuję). Narzędzie jest dostępne do pobrania tutaj. Ponadto krótka instrukcja obsługi jest dostępna tutaj [PDF].

Po pobraniu narzędzia kliknij prawym przyciskiem myszy i Uruchom jako administrator.

Narzędzie automatycznie skanuje twój system “tryb wykrywania.” Jeśli nie wystąpi złośliwa aktywność, narzędzie zostanie automatycznie zamknięte bez wprowadzania zmian w konfiguracji systemu lub routera.

Jeśli jednak narzędzie wykryje złośliwy element, możesz po prostu użyć / del polecenie, aby wyłączyć i usunąć reguły przekierowania portów.

Unikanie wykrycia

Nieco zaskakujący jest trojan bankowy o takim wyrafinowaniu.

Oprócz wyżej wspomnianego robaka Conficker “informacje na temat złośliwego wykorzystania UPnP przez złośliwe oprogramowanie są ograniczone.” Mówiąc dokładniej, jest to wyraźny sygnał, że urządzenia IoT wykorzystujące UPnP są ogromnym celem (i podatnością na ataki). Ponieważ urządzenia IoT stają się wszechobecne, musisz przyznać, że cyberprzestępcy mają złotą szansę. (Nawet twoja lodówka jest zagrożona! Inteligentna lodówka Samsung właśnie została sprowadzona. A co z resztą inteligentnego domu? Inteligentna lodówka Samsung właśnie dostała pwned. Co z resztą inteligentnego domu? W Wielkiej Brytanii została odkryta podatność na inteligentną lodówkę Samsunga z siedzibą w firmie infosec Pen Test Parters. Implementacja szyfrowania SSL przez Samsunga nie sprawdza ważności certyfikatów).

Ale chociaż Pinkslipbot przechodzi w trudny do usunięcia wariant złośliwego oprogramowania, nadal zajmuje tylko 10 miejsce wśród najbardziej rozpowszechnionych rodzajów złośliwego oprogramowania finansowego. Najwyższe miejsce nadal zajmuje klient Maximus.

Źródło zdjęcia: IMB X-Force

Ograniczanie ryzyka pozostaje kluczem do unikania finansowego szkodliwego oprogramowania, czy to dla firmy, firmy czy użytkownika domowego. Podstawowa edukacja przeciw phishingowi Jak rozpoznać wiadomość e-mail wyłudzającą informacje Jak rozpoznać wiadomość e-mail wyłudzającą informacje Złapanie wiadomości e-mail wyłudzających informacje jest trudne! Oszuści udają PayPal lub Amazon, próbując ukraść hasło i dane karty kredytowej, jeśli ich oszustwo jest niemal idealne. Pokazujemy, jak rozpoznać oszustwo. oraz inne formy ukierunkowanej złośliwej aktywności Jak oszuści wykorzystują wiadomości phishingowe do docelowych uczniów Jak oszuści wykorzystują e-maile phishingowe do docelowych studentów Liczba oszustw skierowanych do studentów rośnie i wielu z nich wpada w pułapki. Oto, co musisz wiedzieć i co powinieneś zrobić, aby ich uniknąć. przejść ogromny sposób na powstrzymanie tego rodzaju infekcji przedostających się do organizacji - a nawet do domu.

Wpływa na Pinkslipbot? Czy to było w domu czy w Twojej organizacji? Czy zostałeś zablokowany w swoim systemie? Poinformuj nas o swoich doświadczeniach poniżej!

Zdjęcie kredytowe: akocharm przez Shutterstock




Jeszcze bez komentarzy

Strzeż się tej funkcji Kodi, która może cię szpiegować
Zabawa
Jak zaktualizować Kodi?
Zabawa
Jak pobierać filmy i programy telewizyjne na Netflix
Zabawa
O nowoczesnej technologii, prostej i niedrogiej.
Twój przewodnik w świecie nowoczesnych technologii. Dowiedz się, jak korzystać z technologii i gadżetów, które nas otaczają każdego dnia i dowiedz się, jak odkrywać ciekawe rzeczy w Internecie.