За сколько можно взломать мобильную сеть?
Надежно ли электронное правительство
в эпоху WikiLeaks и Anonymous?

Взлом АСУ ТП – голливудские байки
или реалии сегодняшнего дня?
Интернет-банкинг – возможна ли победа
в битве с мошенниками?

Киберпреступность, кибершпионаж, кибервойна. Где грань?

понедельник, 26 марта 2012 г.

«Грузинский» ботнет от канадца Пьер-Марка Бюро. Мастер-класс на PHDays

Несколько дней назад мир облетела новость — «грузинский» ботнет на базе Win32/Georbot похищает секретные документы, а также делает аудио- и видеозаписи с помощью web-камер.

Узнать о том, как работает Win32/Georbot , научиться им управлять или нейтрализовывать можно будет на форуме Positive Hack Days. 30 и 31 мая. Ведущий инженер вирусной лаборатории ESET, специалист по кибервойнам и кибершпионажу Пьер-Марк Бюро (Pierre-Marc Bureau) проведет первый в мире мастер-класс по «гирботу».

Как он делает скриншоты и пишет звук?
Пьер продемонстрирует аудитории многочисленные возможности Win32/Georbot. В реальном времени вы увидите, как управляемый канадским специалистом зловред исполнит следующие фокусы:

• совершит кражу документов,
• снимет скриншоты Web-камерой, установленной на компьютере «жертвы»,
• сделает аудио-запись на встроенный микрофон,
• просканирует сеть,
• вызовет отказ в обслуживании.

Способы обфускации
Подобно настоящему резиденту, вредоносная программа не ищет славы и стремится оставаться в тени. Неприметной для антивирусов её делает закрытый и специально усложненный код. Участники мастер-класса узнают, каким образом реализована обфускация (запутывание) кода Win32/Georbot, и смогут прояснить для себя следующие моменты:

• контроль потока обфускации,
• строка обфускации,
• API вызова обфускации через хеширование.

Как управлять «гирботом»
Участники посмотрят, как данный «боевой червь» общается со своим командно-контрольным сервером, используя протокол HTTP. Пьер также покажет, как создать альтернативную команду и серверный элемент управления в лаборатории, и как давать программе команды и получить от нее обратную связь.

Что потребуется на мастер-классе
Не забудьте взять ноутбук с операционной системой Windows XP, установленной на виртуальной машине. Активным участникам мастер-класса необходимо также инсталлировать следующие приложения (их можно скачать бесплатно):
• Python,
• IDA Free,
• Immunity Debugger (или Olly, если предпочитаете),
• Wireshark.

Обязательные навыки для более плавного погружения в тему:
• понимание принципов сборки,
• понимание строения операционной системы Windows,
• понимание языка программирования Python.

Коротко о Win32/Georbot
По словам Пьер-Марка Бюро, семейство вредоносных приложений Win32/Georbot появилось примерно полтора года назад. Вирус имеет множество вариаций, не предназначен для «ковровой бомбардировки», используется для кражи конфиденциальной информации и с трудом поддается идентификации.

Ссылки по теме:
Новость о Win32/Georbot: http://www.securitylab.ru/news/422007.php
Подробный анализ: http://blog.eset.com/wp-content/media_files/ESET_win32georbot_analysis_final.pdf

Комментариев нет:

Отправить комментарий