Similar to the Stuxnet and Flame Shamoon program is being used by criminals - makes data theft and blocks the victim's computer - told Computerworld.
Analysts with the firm Seculert computer security, who first described a new Trojan horse that affects the state on both computers on the corporate network, as well as belonging to individual users. The analysis, however, shows the code that is specifically targeted to attack some people and companies. In this latter case, the target company's energy sector.
Shamoon in the first phase of the attack takes control of the systems connected to the Internet and spread on all the PCs with Windows operating system - regardless of version - working in the victim's network. Then copies the data from the compromised computer, using the acquired company's system and then forward them to the server management and control (C & C servers). Analysts working for both companies Seculert as well as for other companies in the same industry Symantec and Kaspersky Lab has not agreed so far, exactly what type of data looking for Shamoon. In the second phase of the attack, after downloading all the data relevant to the Trojan is activated mechanism of destruction - the system files are overwritten in the boot sectors of computers acquired (MBR = Master Boot Record). The result is that the operating system can no longer run.
MBR Overwriting files relates in particular to the computer from which Shamoon communicate with their C & C servers, which, according to Aviva Raffa, analyst and co-founder of Seculert aims to seize evidence, leading to the C & C server List overwritten because the file is passed to the C & C server, probably to check whether the cover-up procedure was successful.
How Symantec analysts note attack directed at specific targets, with destructive procedures are rare and hardly used since 2005. Trojans and malware work "in silence" and their creators to not depend on the seized computers attracted unnecessary attention.
Despite the similarities between Shamoon, a known malware such as Stuxent, Flame or Gauss - in the case of these last two so-called active element. Head also had a destructive process - analysts do not believe that a new Trojan, and those already known malware, created the same group of developers.
Kaspersky Lab released a list of significant differences between the Stuxnet code and Flame and Shamoonem that they think it clear that these programs have created two different groups of developers. Shamoon their opinion is "very successful ribbon" Stuxnet and the Flame, the first created by the criminal group. This is confirmed by analysts Seculert, considering that hackers can offer Shamoon data acquired by the affected party competition, or try to sell them on the black market.
トロイの木馬の新しいタイプを発見しました。 Stuxnetのと炎Shamoonプログラムと同様に、犯罪者によって使用されている - データが盗難やブロック、被害者のコンピュータを作る - Computerworld誌に語った。
第一企業ネットワーク上の両方のコンピュータ上の状態に影響を及ぼす新たなトロイの木馬を説明事務所Seculertコンピュータセキュリティ、とアナリストだけでなく、個々の利用者に属するように。分析は、しかし、具体的に何人かの人々や企業を攻撃するために対象とされるコードを示しています。この後者の場合には、対象会社のエネルギー部門。
バージョンに関係なく - - 被害者のネットワークで作業をして攻撃の最初の段階でShamoonは、Windowsオペレーティングシステムとすべてのパソコンでインターネットと普及に接続されたシステムの制御を取得します。その後、買収した企業のシステムを使用して、侵入先のコンピュータからデータをコピーしてから、サーバーの管理と制御(C&Cサーバ)に転送する。両社のために働いて、アナリストはSeculertだけでなく、同じ業界の他の会社のためにSymantecとKaspersky Labは、正確にどのようなタイプのShamoon探しのデータは、これまでのところ同意していない。攻撃の第二段階では、トロイの木馬に関連するすべてのデータをダウンロードした後に、破壊のメカニズムを活性化される - システムファイル(MBR =マスターブートレコード)を取得するコンピュータのブートセクタで上書きされます。結果は、オペレーティングシステムが実行されなくできることです。
MBRのファイルの上書きアビバRaffaによると、Seculertのアナリスト兼共同創設者は、C&Cサーバにつながる証拠をつかむことを目指し、それらのC&CサーバとからShamoon通信するコンピュータに特に関係する上書きリストファイルは、C&Cサーバに渡されるためには、おそらく、カバーアップの手順が成功したかどうかをチェックします。
破壊的な手順で、具体的な目標に向けどのようにシマンテックのアナリストノート攻撃はまれであり、ほとんど2005年以降使用されていません。押収されたコンピューターに依存しないように、トロイの木馬、 "沈黙の"マルウェアの仕事と、そのクリエイターは、不要な注目を集めました。
これら最後の二つのいわゆるアクティブ素子の場合 - Shamoon、そのようなStuxent、炎やガウスのような既知のマルウェアとの類似点にもかかわらず。ヘッドはまた、破壊的なプロセスを持っていた - アナリストが新しいトロイの木馬、およびそれらの既に知られているマルウェアは、開発者の同じグループを作成したことを信じていない。
Kaspersky Labは、Stuxnetのコードと炎、そして、彼らはそれを明確に、これらのプログラムは、開発者が2つの異なるグループを作成していることを考えることShamoonem間の有意差のリストを発表した。 Shamoon彼らの意見は、犯人グループによって作成された最初の、 "非常に成功したリボン" Stuxnetのと炎です。これは、ハッカーが影響を受けた当事者の競争によって取得Shamoonデータを提供したり、闇市場にそれらを販売することを試みることができることを考えると、アナリストSeculertにより確認されている。
发现了一种新的木马。类似的Stuxnet和火焰Shamoon程序正在被犯罪分子利用 - 使数据被窃取,并阻止受害者的电脑 - 告诉计算机。
分析师Seculert公司的电脑安全,他首先介绍了一个新的木马,影响企业网络上的两台计算机上,以及属于个人用户的状态。然而,分析,显示的代码是专门针对攻击一些个人和公司。在后一种情况下,目标公司的能源部门。
Shamoon在第一阶段的攻击进行控制的系统连接到互联网,在所有的Windows操作系统的PC传播 - 不论版本 - 在受害者的网络。从受感染的计算机上,然后复制数据,利用被收购公司的系统,然后将它们转发到服务器的管理和控制(C&C服务器)。分析师对两家公司Seculert以及其他公司在同行业中赛门铁克和卡巴斯基实验室不同意,到目前为止,究竟是什么类型的数据寻找Shamoon。在第二阶段的攻击,下载后所有有关的数据,该木马被激活机制的破坏 - 系统文件被覆盖在收购的计算机的引导扇区(MBR主引导记录)。其结果是,该操作系统将不能再运行。
MBR覆盖文件,特别是涉及从C&C服务器,Shamoon沟通,根据英杰华Raffa,分析师和共同创始人的Seculert的目的是抓住证据,导致C&C服务器的计算机清单覆盖,因为该文件传递到C&C服务器,可能检查,是否掩盖程序是成功的。
赛门铁克分析师指出,攻击破坏性程序的具体目标,是罕见的,自2005年以来,很少使用。木马和恶意软件的工作“沉默”及其创作者的不依赖于检获的电脑吸引不必要的注意。
尽管相似,之间Shamoon,一个已知的恶意软件,如Stuxent,火焰或高斯 - 的情况下,最后两个所谓的有源元件。头也有一个破坏性的过程 - 分析师并不认为,一个新的木马,那些已知的恶意软件的开发,创造了同一组。
卡巴斯基实验室发布了一个名单Stuxnet的代码和火焰和Shamoonem的,他们认为,这些方案已经创建了两个不同的团队开发的显着差异。 Shamoon他们的意见是“非常成功丝带”Stuxnet蠕虫和火焰,创建的第一个犯罪集团。这也证实了分析师Seculert,考虑到黑客可以提供Shamoon受影响的一方竞争获得的数据,或尝试他们在黑市上出售。
No comments:
Post a Comment