Операция Pawn Storm (Пешечный штурм) -активная, политическая,экономическая,кибер операция,которая охватывает широкий спектр субъектов, как военных, правительства, оборонной промышленности и средств массовой информации.
Исполнители Pawn Storm ,как правило,активно передвигают "пешки" , в надежде чт оони приблизятся к фактичным целям.
Когда они наконец достигается цель,принимается решение о передвижение следующей "пешки" - расширение шпионских программ.
Были найдены вредоносные программы iOS , которые получаю на уже установленным зараженных системах, что есть очень похожим на один из этапов под названием SEDNIT - вредоносные программы для Microsoft Windows.
Мы нашли еще два вредоносных IOS приложений в рамках операции Pawn Storm. Одна из них называется XAgent (определяется как IOS_XAGENT.A) и другой использует имя законного игре IOS, безумца (определенного как IOS_ XAGENT.B). После анализа мы пришли к выводу, что оба приложения, связанные с SEDNIT.
Очевидно, цель SEDNIT, связанная с программами-шпионами, для того чтобы украсть личные данные, записать звук, делать скриншоты и отправлять их на удаленный командно-контролируемый (C & C) сервер. Сервер C & C связывается с вредоносными программами IOS и находится под напряжением.
Анализ XAgent
XAgent приложение является полностью функциональной вредоносной программой. После установки на прошивки 7, значок приложения скрыт, и работает в фоновом режиме сразу же. Когда мы пытаемся остановить его, убивая процесс, он почти сразу же перезапускается.
Установка вредоносного в IOS 8 устройства дает разные результаты.Значок не скрыт и он также не может автоматически перезагрузится. Это говорит о том, что вредоносная программа была разработана до выпуска прошивки 8 сентября прошлого года 2014 года.
Возможности кражи данных
Приложение предназначено для сбора всех видов информации на устройстве IOS. Он способен выполнять следующие процедуры:
Сбор текстовых сообщений
Получить список контактов
Получить фотографии
Сбор данных о географическом положении
Начать запись голоса
Получить список установленных приложений
Получить список процессов
Получить статус Wi-Fi
C & C Связь
Кроме того, собирая информацию с устройства IOS, приложение посылает информацию через HTTP. Он использует POST запрос на передачу сообщения и GET запрос на получение команд.
Файловые Сообщения журнала
Сообщения журнала вредоносной программы написаны на HTML и цветовой маркировкой, что делает облегчает его чтение . Сообщения об ошибках показано на рисунке ниже
Исполнители Pawn Storm ,как правило,активно передвигают "пешки" , в надежде чт оони приблизятся к фактичным целям.
Когда они наконец достигается цель,принимается решение о передвижение следующей "пешки" - расширение шпионских программ.
Были найдены вредоносные программы iOS , которые получаю на уже установленным зараженных системах, что есть очень похожим на один из этапов под названием SEDNIT - вредоносные программы для Microsoft Windows.
Мы нашли еще два вредоносных IOS приложений в рамках операции Pawn Storm. Одна из них называется XAgent (определяется как IOS_XAGENT.A) и другой использует имя законного игре IOS, безумца (определенного как IOS_ XAGENT.B). После анализа мы пришли к выводу, что оба приложения, связанные с SEDNIT.
Очевидно, цель SEDNIT, связанная с программами-шпионами, для того чтобы украсть личные данные, записать звук, делать скриншоты и отправлять их на удаленный командно-контролируемый (C & C) сервер. Сервер C & C связывается с вредоносными программами IOS и находится под напряжением.
Анализ XAgent
XAgent приложение является полностью функциональной вредоносной программой. После установки на прошивки 7, значок приложения скрыт, и работает в фоновом режиме сразу же. Когда мы пытаемся остановить его, убивая процесс, он почти сразу же перезапускается.
Установка вредоносного в IOS 8 устройства дает разные результаты.Значок не скрыт и он также не может автоматически перезагрузится. Это говорит о том, что вредоносная программа была разработана до выпуска прошивки 8 сентября прошлого года 2014 года.
Возможности кражи данных
Приложение предназначено для сбора всех видов информации на устройстве IOS. Он способен выполнять следующие процедуры:
Сбор текстовых сообщений
Получить список контактов
Получить фотографии
Сбор данных о географическом положении
Начать запись голоса
Получить список установленных приложений
Получить список процессов
Получить статус Wi-Fi
C & C Связь
Кроме того, собирая информацию с устройства IOS, приложение посылает информацию через HTTP. Он использует POST запрос на передачу сообщения и GET запрос на получение команд.
Файловые Сообщения журнала
Сообщения журнала вредоносной программы написаны на HTML и цветовой маркировкой, что делает облегчает его чтение . Сообщения об ошибках показано на рисунке ниже
Хорошо разработанные структуры кода
Мы видим, что структуры кода вредоносной программы очень организованы.Вредоносные программы тщательно поддерживаются и последовательно обновляются.
Приложение использует команды - смотреть , искать, найти, результаты, открыть и закрыть.
Случайным образом генерируемые URI
Полный Универсальный идентификатор ресурса (URI) для C & C HTTP запросов генерируется случайным образом, в соответствии с шаблон согласован с сервером C & C.Базовый URI можно видеть на фигуре 4, и параметры выбираются из списка ниже, и добавляется к базе URI
Вот были получены соответствующие реализации
Формат и кодирование
Вредоносная программа использует маркер, чтобы определить, какие модули связи.Маркер в кодировке Base64 данные, но дополняется 5-байтным случайным префиксом так, что он выглядит как достоверные данные Base64. Посмотрите на первую линию "Ай =" участие в рисунке ниже.
дополнительные коммуникационные функции.
FTP Связь
Приложение также может загружать файлы по протоколу FTP.
Анализ “MadCap”
- похож на вредоносных программ XAgent, но сосредоточен на записи звука. "Madcap" может быть установлен только на взломанных устройствах.
Возможные методы инфекции
Точные методы установки этих вредоносных программ, неизвестно. Тем не менее, мы знаем, что устройство IOS не должно быть взломано . Мы видели, один экземпляр которой был приманкой с участием XAgent просто с надписью "Нажмите здесь, чтобы установить приложение." Приложение использует Apple в специальную подготовку к работе, которая является стандартным методом распределения Apple, для разработчиков IOS App. Через специальной резервов, вредоносные программы могут быть установлены, просто нажав на ссылку, например, на рисунке.Ссылка приведет к HTTPS:. // WWW {ЗАБЛОКИРОВАН} /adhoc/XAgent.plist, сервис, который устанавливает приложения по беспроводной сети
Источник: trendmicro.com
ПЕРЕВОД
Комментариев нет:
Отправить комментарий