Gizli USB Trojan, taşınabilir uygulamalarda gizlenir, hava geçişli sistemleri hedefler

Bir Trojan programı USB sürücüler yoluyla dağıtılıyor ve sözde hava ile çalışan bilgisayarlardan bilgi çalmak üzere tasarlanmış gibi görünüyor. Internet'e bağlı değil.

Yeni Truva atı, antivirüs firması ESET'in güvenlik araştırmacıları tarafından USB Hırsızı olarak adlandırıldı ve USB depolama aygıtlarını ve Windows Otomatik Çalıştırma özelliğini kullanarak yayılan geleneksel kötü amaçlı yazılım programlarından ayıran çeşitli özelliklere sahip.

Her şeyden önce, USB Hırsızı Firefox, NotePad ++ veya TrueCrypt gibi popüler uygulamaların taşınabilir kurulumlarını içeren USB sürücülerini bozar. Bir eklenti veya DLL (dinamik bağlantı kitaplığı) gibi kurulumlara kopyalanır ve daha sonra bu uygulamalarla birlikte yürütülür.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Bazı senaryolarda, özellikle Hava ile ayrılmış bilgisayarlarla uğraşırken, kullanıcılar sisteme yüklemekten kaçınmak için geçici olarak bir USB çubuğundan bir uygulama çalıştırırlar. Pek çok popüler uygulamanın “taşınabilir” sürümleri vardır ve kullanılmadıklarında sisteme herhangi bir dosya veya kayıt defteri girişi bırakmazlar.

Pratikte, sık sık sorunları gidermek zorunda olan PC destek teknisyenleri veya sistem yöneticileri arasında yaygındır. Kullanıcıların bilgisayarları, bu sayede en sevdikleri araçların taşınabilir sürümlerine sahip bir USB bellek taşıyorlar.

USB Hırsızı Trojan, her biri zincirdeki bir sonraki bileşeni yükleyen, iki şifrelenmiş, üç çalıştırılabilir programdan oluşan çok aşamalı bir kötü amaçlı yazılım programıdır. konfigürasyon dosyaları ve son bir faydalı yük.

Taşınabilir bir uygulamanın yasal bir eklentisi veya DLL'sinden sonra adlandırılan ilk yükleyici dışında, diğer bileşenlerin adları kriptografik işlemlere göre belirlenir ve virüs bulaşan birinden farklıdır. USB sürücüsü diğerine.

Örneğin, ilk yükleyici, SHA512 karmasını kendi oluşturulma tarihiyle birlikte kendi içeriğiyle birlikte hesaplar ve adıyla eşleşen bir dosyayı çalıştırmayı dener. sh. Bu, ikinci yükleyici olurdu.

İkinci yükleyici, doğru ebeveyn tarafından başlatılıp başlatılmadığını kontrol edecek ve ardından kendi içeriğinin SHA512 karması ve oluşturma süreleri tamponu olan bir yapılandırma dosyasının şifresini çözmeyi deneyecektir.

Yapılandırma dosyası, AES128 algoritması ile şifrelenir ve anahtar, USB aygıtının disk özelliklerinden oluşan benzersiz kimliğinden hesaplanır. İkinci yükleyici daha sonra, yapılandırma dosyasının içeriğinin SHA512 karması ve oluşturulma süresi gibi bir üçüncü yükleyiciyi çalıştırmayı dener.

Tüm bu kriptografik doğrulamalar, kötü amaçlı yazılımları fiziksel olarak analiz etmeyi çok zorlaştırır. oluşturulduğu belirli bir USB cihazına erişim. Dosya oluşturma tarihleri ​​değiştirileceğinden, dosyaları farklı bir USB aygıtına veya bilgisayara kopyalamak yürütme zincirini kesecektir. Yapılandırma dosyaları, benzersiz bir USB ID'si olmadan da şifresi çözülmez.

Son yük, yeni bir Windows svchost.exe işlemine enjekte edilir ve ikinci şifreli yapılandırma dosyasındaki talimatları okur. Bu talimatlar, hangi bilgilerin bilgisayardan çalınacağını, nerede saklanacağını ve nasıl şifreleyeceğini tanımlar.

“Analiz ettiğimiz durumda, resimler veya belgeler, tüm pencere kayıt defteri ağacı gibi tüm veri dosyalarını çalmak üzere yapılandırıldı. (HKCU), tüm sürücülerden dosya listeleri ve "WinAudit" adlı bir ithal açık kaynak uygulaması kullanılarak toplanan bilgiler, ESET araştırmacıları bir blog yayınında.

Çalınan veriler USB sürücüsüne geri kaydedildi. ve eliptik eğri kriptografisi kullanılarak şifrelenmiştir. ESET araştırmacıları, USB sürücüsü çıkarıldıktan sonra bilgisayarda hiçbir kanıt kalmadı.

Tüm bu özel karakteristikler - üzerine kurulu olan USB aygıtına bağlı kötü amaçlı yazılımlar, güçlü şifreleme ve kriptografik olarak doğrulanmış çok aşamalı yürütme kullanımı, özellikle de hava geçişli sistemlere karşı hedefli saldırılar için tasarlandığını düşündürmektedir.

Çalınan verileri bir internet bağlantısı üzerinden harici bir sunucuya anında göndermeye çalışılmadığından, saldırganların daha sonra virüs bulaşan USB sürücülerden alma yeteneğine sahip olduklarını varsaymak mantıklıdır.

USB Hırsızı Daha büyük bir siberpresaj platformunun bir bileşeni, örneğin bir kurumun BT personeli tarafından kullanılan Internet bağlantılı bilgisayarlara bulaşan bir bileşen. Bu durumda, saldırganlar, çalışanların, enfekte olmuş USB stick'leri, hava geçirmeli sistemlerde kullandıktan sonra bilgisayarlarına geri sokmasını ve çalıntı verileri almasını beklerdi.

Böyle bir davranış için emsali var. Tarihin en sofistike ve uzun süredir devam eden siberpresaj kampanyalarından biri olan Denklem grubu, Fanny adı verilen ve her iki sistemde de hava geçişli sistemlere bulaşan bir USB solucanı kullandı ve daha sonra bunlara komutlar aktardı.

ESET araştırmacıları, ESET'in istatistiklerinin, bu yeni Truva atının çok yaygın olmadığını, ancak doğası için şaşırtıcı olmadığını gösterdiğini söyledi.

ESET'in istatistikleri, veri hırsızlığı yükünü başka herhangi bir kötü amaçlı yüke dönüştürmek için yeniden tasarlamayı zorlaştırıyor. Mümkün olan yerlerde USB portları devre dışı bırakılmalı ve eğer bu mümkün değilse, kullanımları sırasında bakımı sağlamak için katı politikalar uygulanmalıdır ”diyor ayrı bir blog yazısında ESET'in kötü amaçlı yazılım analisti olan Tomáš Gardoň. “Gerçek hayatta test dahil olmak üzere her düzeyde personelin siber güvenlik eğitimine girmesi son derece caziptir.”