ITnetwork Flashka zdarma C a C++ týden
Akce! Pouze tento týden sleva až 80 % na kurzy C++. Lze kombinovat s akcí 50 % bodů navíc na prémiový obsah!
Brno? Vypsali jsme pro vás nové termíny školení Základů programování a OOP v Brně!

Rombertik: malware, který po detekování likviduje počítače

Unicorn College Tento obsah je dostupný zdarma v rámci projektu IT lidem.
Vydávání, hosting a aktualizace umožňují jeho sponzoři.

Cisco Talos Security Intelligence and Research Group v pondělí 4 dubna na svém blogu varovalo před novým druhem malwaru, který si hned z několika důvodů nepřejte mít ve svém počítači. Malware pojmenovaný jako Rombertik je navrhnut tak, aby za použití prohlížeče ukořistil veškeré vaše citlivé údaje v plaintextu ještě předtím, než se pomocí šifrovacích protokolů odešlou do pověřených rukou, což u takových malware není žádnou zvláštností.

schema

schema činnosti programu (1)

Za pozornost ale stojí jakým způsobem a účinností se dokáže vyhnout odhalení všemi možnými běžně používanými zabezpečovacími technikami jakožto i statickou (je testován pouze strojový kód programu) a dynamickou (je testováno chování za běhu programu) analýzou, tak také i spuštění v sandboxu. V případě pozná-li Rombertik, pomocí řady dalších komplexních ověřovacích metod, že byl odhalen (porovnává podle 32bitové kopie, pak na základě svých práv zasáhne těmi snad nejdrastičtějšími způsoby. V tom lepším případě, že Rombertik nemá práva administrátora, zašifruje veškeré data zrovna přihlášeného uživatele náhodnými šifrovacími klíči. V tom horším případě po zašifrování dat ještě šáhne až na Master Boot Record (záznam ve kterém je kromě jiného také zavaděč operačního systému), který kompletně přepíše jediným zacykleným příkazem, který vypisuje na monitor větu „Carbon crack attempt, failed“. A co je nejhorší, to vše se vám může stát, když v nevinně vypadajícím emailu rozkliknete přílohu, tvářící se jako soubor formátu pdf.

screen

V případě, že je malware detekován pokusí se napáchat co největší škody (2)

Zdroje obrázků použitých v článku:
miniatura: thesecurityblog­ger.com
(1) a (2): blogs.cisco.com


 

 

Aktivity (1)

 

 

Komentáře

Avatar
jan.ruzicka01:6.5.2015 6:49

A to se týká všech systémů nebo jenom nějakých?

Odpovědět 6.5.2015 6:49
';' je má jediná noční můra...
Avatar
Petr Čech
Redaktor
Avatar
Petr Čech:6.5.2015 7:06

A je to tedy PDF, nebo ne?

Odpovědět  -1 6.5.2015 7:06
the cake is a lie
Avatar
Adam Ježek
Tým ITnetwork
Avatar
Odpovídá na Petr Čech
Adam Ježek:6.5.2015 7:42

To budou ty faktura0087.pdf­.exe a jelikoz moc uzivatelu nema zaple zobrazovat koncovky, tak .exe nevidi, ma to ikonku adobe readeru a to .pdf nikomu divny nepride...

Odpovědět  +8 6.5.2015 7:42
Počkej chvíli, poradím se s křišťálovou koulí.
Avatar
tomasmanhal
Člen
Avatar
Odpovídá na Adam Ježek
tomasmanhal:6.5.2015 7:48

A nikomu není divný, že mu přišla od neznámého odesílatele neznámá příloha? :-) Souvisí to s všeobecnou prevenci proti takovým emailům, neotvírat přílohu nevyžádané pošty. Past na neznalé no :-)

Odpovědět  +2 6.5.2015 7:48
Kdyby nám dodali k životu zdrojový kód, vše by bylo jednodušší...
Avatar
Adam Ježek
Tým ITnetwork
Avatar
Odpovídá na tomasmanhal
Adam Ježek:6.5.2015 7:59

tak zase pokud umíš v PHP, tak ti může přijít email z libovolné emailovky. A divil by ses, kolik lidí otevře přílohu, když ti přijde mail s předmětem "Nezaplacená faktura".
Kdyby ne, tak se furt nešíří takový vlny zavirovanejch emailů

Odpovědět  +3 6.5.2015 7:59
Počkej chvíli, poradím se s křišťálovou koulí.
Avatar
tomasmanhal
Člen
Avatar
Odpovídá na Adam Ježek
tomasmanhal:6.5.2015 13:22

To mas pravdu. Ta vetsina zavirovanycb mailu je ale z nevedomosti. Emaily z oficialnich instituci kazdy pozna a pokud ne, tak mi klienti naji vzdy moznost mi email preposlat a ja jim poradim co a jak. Takova sluzba nadstandard. A ze jich neni malo, kteri denne dostavaji podvodne emaily od radoby banky, ruzne zpoplatnene registry a domenovi spekulanti. Je mi lito lidi, co se nechaji napalit.

Odpovědět  +1 6.5.2015 13:22
Kdyby nám dodali k životu zdrojový kód, vše by bylo jednodušší...
Avatar
Gabriel Mastný
Redaktor
Avatar
Odpovídá na jan.ruzicka01
Gabriel Mastný:6.5.2015 15:13

Ve zprávě nebyl zmíněn žádný OS, pouze zmínka,že malware je designován pro prohlížeče Explorer, Chrome, a Mozilla. Ale podle dostupných fotografií byl malware testován na Windows.

Odpovědět 6.5.2015 15:13
Where there's will, there's way.
Avatar
Richard
Člen
Avatar
Odpovídá na tomasmanhal
Richard:6.5.2015 15:34
Emaily z oficialnich instituci kazdy pozna

No nevím, pokud mi přijde z banky nebo nějaké instituce mail, uložím si ho, přepíšu texty, přidám zavirovanou přílohu a odešlu někomu z emailu ze kterého to přišlo mě tak je velká šance na úspěch, tu ještě zvyšuje fakt že spousta emailových služeb stále nekontroluje PTR záznamy, takže to dokonce ani nemusí spadnout do spamu, klidně to může zůstat v inboxu.

Už vidím nějakou babičku které přijde do inboxu mail z banky (nebo odkudkoliv) ve formátu v jakém je zvyklá s instrukcí že detaily jsou v příloze. Určitě jí to bude podezřelé, tak mrkne na hlavičky odkud to bylo odeslaný.

Odpovědět 6.5.2015 15:34
$action = $_GET['Life']; | Když dáš mínus, napiš proč!
Avatar
Odpovídá na Richard
Neaktivní uživatel:6.5.2015 15:36

Ale kontrolují SPF, DKIM a mají nainstalované a naučené filtry pro spam. Některé služby provádí sken příloh antivirem.

Editováno 6.5.2015 15:37
Odpovědět 6.5.2015 15:36
Neaktivní uživatelský účet
Avatar
Richard
Člen
Avatar
Odpovídá na Neaktivní uživatel
Richard:6.5.2015 15:48

Pokud se neověřuje ptr, tak se zřejmě neověřuje nic, filtry v tomto případě nejsou účinné, sken příloh má aktivní ještě méně služeb než ověření ptr - je velký prostor pro nedetekovatelný podvod (nedetekovatelný pro babičku).

Editováno 6.5.2015 15:48
Odpovědět 6.5.2015 15:48
$action = $_GET['Life']; | Když dáš mínus, napiš proč!
Avatar
Odpovídá na Richard
Neaktivní uživatel:6.5.2015 16:40

Jo, ale najdi mě službu, která neověřuje (alespoň základně) identitu odesílatele.

Odpovědět 6.5.2015 16:40
Neaktivní uživatelský účet
Avatar
Richard
Člen
Avatar
Richard:6.5.2015 16:44

Obrovský počet freemailů, obrovský počet serverů které provozují jednotlivci pro sebe a okolí, obrovský počet firemních serverů a další obrovské počty. Bohužel je to docela běžné.

Odpovědět 6.5.2015 16:44
$action = $_GET['Life']; | Když dáš mínus, napiš proč!
Avatar
NeonMaster
Člen
Avatar
NeonMaster:6.5.2015 17:09

Tady na ITnetwork se vám to nezdá ale je i spousta lidí co neví co je to .exe ;( většinou se ale takový lidé tady neregistrují.

Editováno 6.5.2015 17:09
 
Odpovědět  +1 6.5.2015 17:09
Avatar
Odpovídá na Petr Čech
Neaktivní uživatel:6.5.2015 17:18

Jak by mohl být virus pdf?? Přemýšlej ;)

Odpovědět  -6 6.5.2015 17:18
Neaktivní uživatelský účet
Avatar
Richard
Člen
Avatar
Odpovídá na Neaktivní uživatel
Richard:6.5.2015 17:25

A proč by nemohl?

Odpovědět  +2 6.5.2015 17:25
$action = $_GET['Life']; | Když dáš mínus, napiš proč!
Avatar
Odpovídá na Richard
Neaktivní uživatel:6.5.2015 17:27

Protože pdf je dokument, který není přímo překladatelný. Vir (ve finálním stavu) musí mít koncovku .exe, .bat nebo třeba .vbs

Odpovědět  -5 6.5.2015 17:27
Neaktivní uživatelský účet
Avatar
Petr Čech
Redaktor
Avatar
Odpovídá na Neaktivní uživatel
Petr Čech:6.5.2015 17:28

Samozřejmě, že přemýšlím, jinak bych se neptal ;) . Právě proto, že jsem to už řešil a dostal jsem odpověď, že i třeba obrázky dokáží teoreticky spouštět kód, jsem se zeptal, jestli to není tento případ.

tady je to vlákno: http://www.itnetwork.cz/…4c3c51d405d8

Editováno 6.5.2015 17:31
Odpovědět 6.5.2015 17:28
the cake is a lie
Avatar
Odpovídá na Neaktivní uživatel
Michal Žůrek - misaz:6.5.2015 17:31

i do PDF se dá ukrýt vir. To že je to dokument nic nemění na tom, že tento dokument je něčím zpracováván (zde je ta příležitost pro viry).

 
Odpovědět  +1 6.5.2015 17:31
Avatar
Odpovídá na Michal Žůrek - misaz
Neaktivní uživatel:6.5.2015 17:44

Nedá, pouze instrukce pro spuštění viru, který stejně musí mít některou z výše uvedených přípon. ;)

Odpovědět  -5 6.5.2015 17:44
Neaktivní uživatelský účet
Avatar
Odpovídá na Neaktivní uživatel
Neaktivní uživatel:6.5.2015 17:45

Ale dá, shellcode se dá schovat do PDF souboru.

Odpovědět  +3 6.5.2015 17:45
Neaktivní uživatelský účet
Avatar
Richard
Člen
Avatar
Odpovídá na Neaktivní uživatel
Richard:6.5.2015 17:46

Asi to bude překvapení, ale i v tomhle textu můžu ukrýt škodlivý kód kterej ti za určitých okolností může způsob újmu, to že text není překladatelný má asi takový význam jako to že pdf není překladatelný. Třeba v adobe readeru byla několikrát díra která po otevření pdf spustila škodlivý kód, to platí o všem (hackovali te telefony smskama, počítače obrázkama, hackují se btsky, hackuje se mysl zvukem atd..). Všechno to jsou jen data která musí být nějakým způsobem interpretována.

Editováno 6.5.2015 17:47
Odpovědět  +1 6.5.2015 17:46
$action = $_GET['Life']; | Když dáš mínus, napiš proč!
Avatar
Odpovídá na Neaktivní uživatel
Michal Žůrek - misaz:6.5.2015 17:46

přípona je jen srandička pro uživatelský zážitek na ni nezáleží. Do PDF se dá schovat cokoliv, třeba 3D objekt nebo vir.

 
Odpovědět  +3 6.5.2015 17:46
Avatar
Richard
Člen
Avatar
Odpovídá na Neaktivní uživatel
Richard:6.5.2015 17:48

Vlastní neznalost ukazuješ stále dokola, raději si místo mínusování doplň znalosti ;)

Odpovědět  +4 6.5.2015 17:48
$action = $_GET['Life']; | Když dáš mínus, napiš proč!
Avatar
Odpovídá na Richard
Neaktivní uživatel:6.5.2015 19:17

Místo nesmyslných závěrů si přečti o této problematice aspoň pár článků. ;)
Nebudu se o tom dále bavit.

Odpovědět  -6 6.5.2015 19:17
Neaktivní uživatelský účet
Avatar
Richard
Člen
Avatar
Odpovídá na Neaktivní uživatel
Richard:6.5.2015 19:29

Aha, takže my všichni co ti tu říkáme jak to je jsme idioti a doložená historie těch útoků jsou výmysly?

Jinak, v it se pohybuju o několik let více ty jsi než na světě a jen o málo méně v něm podnikám a za tu dobu už mám nějaké ty praktické zkušenosti. Myslím že pár článků by mi obzory moc nerozšířilo, navíc za tím co píšu si stojím, protože je to jednoduše fakt.
Jen ty nehodláš uznat že nevíš všechno. Hlavně že opět mínusuješ :-).

Editováno 6.5.2015 19:30
Odpovědět  +3 6.5.2015 19:29
$action = $_GET['Life']; | Když dáš mínus, napiš proč!
Avatar
Matúš Petrofčík
Šéfredaktor
Avatar
Matúš Petrofčík:6.5.2015 19:33

Tak Rambertik alebo Rombertik? :D A ako to že zlé veci dostávajú také pekné mená? :D

Odpovědět  +2 6.5.2015 19:33
obsah kocky = r^2 ... a preto vlak drnká
Avatar
Odpovídá na Neaktivní uživatel
Uživatel sítě :6.5.2015 22:35

Nedávnou koloval Steamem útok pomocí neškodného obrázku, samozřejmě po jeho otevření. Spočívalo to v tom, že infikovaný klient nevědomky posílal odkazy svým přátelům a ti když na něj klikly tak většinou se obrázek otevřel v prohlížeči a už byl také infikovaný. Já měl tu kliku, že se mi obrázek pouze stáhl a neotevřel jsem ho, protože jsem tušil a zeptal se dotyčného co to přesně je.

Jak psal richard, přidat škodlivý kód jde opravdu téměř do všeho, i do prostého textu jak zmínil, četl jsem o takových případech (kdysi)..

Avšak nebezpečná příloha v podobě PDF, je opravdu zastaralá věc..

Odpovědět  +2 6.5.2015 22:35
Chybami se člověk učí, běžte se učit jinam!
Avatar
Gabriel Mastný
Redaktor
Avatar
Odpovídá na Matúš Petrofčík
Gabriel Mastný:7.5.2015 22:10

Díky, překlep opraven.

Odpovědět  +1 7.5.2015 22:10
Where there's will, there's way.
Avatar
pracansky
Člen
Avatar
Odpovídá na Neaktivní uživatel
pracansky:8.5.2015 11:08

Vir v pdf být může stejně jako v jakémkoli jiném souboru. Ke své funkci ale musí využívat chybu prohlížeče která umožní jeho spuštění. Speciálně u Adobe produktů je to naprosto reálný problém.

 
Odpovědět  +2 8.5.2015 11:08
Avatar
Neaktivní uživatel:17.6.2015 22:39

souhls,vir jde dát do všeho,vše je v podstatě binární zápis,koncovky jako .exe .mp3 .jpg .png .3ds jsou pouze pro rozlišení,aby počítač věděl jak má soubor číst...když máš třeba shoot.mp3 můžeš to vpoho přepsat na shoot.vaw a půjde to přečíst i tak,jelikož je oboje zvuk dá se přečíst stejným způsobem ;)

Odpovědět  -3 17.6.2015 22:39
Neaktivní uživatelský účet
Avatar
Richard
Člen
Avatar
Odpovídá na Neaktivní uživatel
Richard:17.6.2015 22:55

Jojo, to je přece logický. A navíc přejmenováním na wav se zvýší kvalita zvuku!! :-D

Odpovědět  +3 17.6.2015 22:55
$action = $_GET['Life']; | Když dáš mínus, napiš proč!
Avatar
Odpovídá na Neaktivní uživatel
Dominik Gavrecký:17.6.2015 23:02

Mňa celkom udivuje tvrdohlavosť uživateľa... Myslíš si že keby sa dalo hackovať len cez určite typy súborov tak by to blokli a bolo by po probleme. Virus môžeš kľudne schovať aj do obyčajného jpg. A to že to nevieš to neznamená že sa to nedá.

Odpovědět 17.6.2015 23:02
Hlupák nie je ten kto niečo nevie, hlupákom sa stávaš v momente keď sa na to bojíš opýtať.
Avatar
Martin Dráb
Redaktor
Avatar
Martin Dráb:17.6.2015 23:43

Také asi stojí za zmínku diskuze v tomto vlákně:
http://www.kernelmode.info/…iewtopic.php?…

Je to také trošku pohled na to, co je to analýza a "analýza".

Odpovědět 17.6.2015 23:43
2 + 2 = 5 for extremely large values of 2
Avatar
David Novák
Redaktor
Avatar
Odpovídá na Martin Dráb
David Novák:18.6.2015 0:43

Díky!

Dobře jsem se zasmál.. :D

Odpovědět 18.6.2015 0:43
Chyba je mezi klávesnicí a židlí.
Avatar
Martin Dráb
Redaktor
Avatar
Odpovídá na David Novák
Martin Dráb:18.6.2015 0:45

Díky! Dobře jsem se zasmál..

Jojo, když je EP_X0FF v náladě, tak to vždycky stojí za to :-).

Odpovědět 18.6.2015 0:45
2 + 2 = 5 for extremely large values of 2
Děláme co je v našich silách, aby byly zdejší diskuze co nejkvalitnější. Proto do nich také mohou přispívat pouze registrovaní členové. Pro zapojení do diskuze se přihlas. Pokud ještě nemáš účet, zaregistruj se, je to zdarma.

Zobrazeno 35 zpráv z 35.