2016-10-20 15:13
Autor: Sebastian Wiśniewski (NetCop)
0

FruityArmor wykorzystywało lukę w Windows

Obrazek FruityArmor wykorzystywało lukę w Windows

Po opublikowaniu przez firmę Microsoft łaty dla luki w oprogramowaniu eksperci z Kaspersky Lab mogą wyjaśnić, w jaki sposób wykryta przez nich we wrześniu luka dnia zerowego w systemie Windows była wykorzystywana przez ugrupowanie cyberprzestępcze pod nazwą FruityArmor do przeprowadzania ataków ukierunkowanych. Członkowie FruityArmor wykorzystywali lukę CVE-2016-3393, aby uzyskać większe przywileje na maszynach ofiar i zdalnie wykonać swój szkodliwy kod. CVE-2016-3393 jest czwartą luką dnia zerowego, jaka została wykryta w tym roku przez nowe technologie Kaspersky Lab służące do identyfikacji i blokowania tego typu podatności w systemach i aplikacjach.

Po przeniknięciu do atakowanej maszyny wspomniane ugrupowanie cyberprzestępcze zwykle wykorzystuje złośliwy kod angażujący lukę w zabezpieczeniach przeglądarki internetowej, aby rozpocząć swoją szkodliwą aktywność. Jednak zważywszy na to, że wiele przeglądarek wykorzystuje tzw. technologię piaskownicy (ang. sandbox) – funkcję wykorzystywaną do izolowania i bezpiecznego uruchamiania nowych aplikacji – tego typu szkodliwy kod rzadko wystarczy, aby zapewnić atakującym dostęp, jakiego potrzebują. Dlatego FruityArmor uzupełnił swój arsenał o narzędzie umożliwiające zwiększenie uprawnień w zainfekowanym systemie z użyciem luki CVE-2016-3393.
Po skutecznej instalacji szkodliwego kodu następuje wykonanie kolejnej funkcji z przywilejami wyższego poziomu, co umożliwia komunikowanie się z serwerem kontrolowanym przez cyberprzestępców. Szkodliwe oprogramowanie jest tym samym gotowe do otrzymania dalszych poleceń i pobrania dodatkowych modułów.
„Chociaż cyberprzestępcy coraz częściej wykorzystują niestandardowe szkodliwe oprogramowanie, luki dnia zerowego nadal stanowią pożądaną zdobycz dla grup stosujących ataki ukierunkowane. Zapotrzebowanie na takie luki prawdopodobnie nie zmniejszy się w najbliższym czasie, dlatego badacze zajmujący się bezpieczeństwem muszą nadal ich szukać, technologie ochrony muszą być w stanie je wykrywać, a twórcy oprogramowania szybko dostarczać poprawki. Wspólnie odpowiadamy za ochronę użytkowników” – powiedział Anton Iwanow, ekspert ds. bezpieczeństwa IT, Kaspersky Lab.
Produkty firmy Kaspersky Lab wykrywają szkodliwy kod wykorzystujący lukę CVE-2016-3393 jako:
• HEUR:Exploit.Win32.Generic,
• PDM:Exploit.Win32.Generic.
Szczegóły techniczne dotyczące wykorzystania przez atakujących luki CVE-2016-3393 są dostępne na stronie https://kas.pr/b4bH.

źródło: Raport Kaspersky Lab



Komentowanie dostę™pne jest tylko dla zarejestrowanych i zalogowanych czytelnik serwisu IN4.pl.