Атаки при помощи 64-битного трояна Miras


Trend MicroСпециалисты по IT-безопасности компании Trend Micro зафиксировали целевую атаку на одну из европейских IT-компаний, в ходе которой были похищены некоторые данные. В ходе ее изучения удалось установить, что для похищения этих данных был использован усовершенствованный 64-битный троян Miras.

В дальнейшем, в ходе изучения уже вредоносного ПО Miras, было установлено, что модуль его файлового и дискового менеджера собирает информацию об устанавливаемых на атакуемый компьютер обновлениях. Для похищения данных жертвы используется менеджер процессов вредоносного ПО, который сообщает злоумышленникам дату и время создания процесса.

Возвращаясь непосредственно к атаке. Она представляет особую угрозу, поскольку ее функционал предназначен для запуска последующих атак. В свою очередь фукнционал бэкдора дает атакующим доступ к модулям, которые задействованы в других процессах. Это позволяет применить подмену DLL-файлов (DLL hijacking) или осуществить атаку  с помощью эксплоита, конечно, в зависимости от того, какие модули системы жертвы просматриваются.

Статистика показывает, что за последние полгода количество специфических целевых атак значительно возросло. По этой причине очень важно, чтобы компании научились отслеживать и оперативно устранять угрозы. Компании должны понимать, что целевые атаки больше не сводятся к отдельным случаям, все чаще это явление приобретает глобальные масштабы. Стоит отметить, что основной угрозой сегодня являются именно уникальные атаки, которые разработаны специально для получения доступа к определенным данным той или иной компании.

Эксперты уведомляют, что одним из фактов присутствия Miras в системе, является наличие файла

  • %System%/wbem/raswmi.dll

Обновлено (20.09.2014 17:47)