Архив

Следующей угрозой могут стать шифрованные боты

Инженер по информационной безопасности из SRA International Адам Мейерз (Adam Meyers) считает, что в ближайшем будущем авторы ботов начнут применять шифрование, чтобы скрыться от средств защиты и анализаторов сетевых пакетов.

После установки на ПК бот-программа обычно подключается к каналу Internet Relay Chat и ожидает команд. Трафик IRC может указывать на присутствие в компьютере вредоносного ПО и улавливается такими средствами защиты, как системы обнаружения вторжений (IDS) или анализаторы протокола, например, Ethereal.

В своем выступлении на конференции Института компьютерной безопасности в Вашингтоне Мейерз сказал: «Создатели ботов попытаются скрыться от IDS, которые следят за соединениями IRC, и от таких инструментов, как Ethereal. Они сделают все, чтобы замести следы. Постоянно изобретаются новые методы, и исследователям, чтобы выйти на тот же уровень, требуется какое-то время».

По словам Мейерса, в распоряжении авторов бот-программ есть разные технологии шифрования. Они могут использовать SSH, SSL, ROT-13 или какой-нибудь нестандартный метод. Создавать таких ботов будет труднее, но дело того стоит, поскольку чем длиннее ключ к шифру бот-программы, тем больше денег она принесет злоумышленникам.

Источник: ZDNet

Следующей угрозой могут стать шифрованные боты

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Техники, тактики и процедуры атак на промышленные компании

В 2022 году мы расследовали серию атак на промышленные компании в Восточной Европе. В ходе кампаний атакующие стремились организовать постоянно действующий канал для вывода украденных данных, включая данные, размещенные на физически изолированных (air-gapped) системах.

Операция Триангуляция: ранее неизвестная целевая атака на iOS-устройства

В процессе мониторинга собственной корпоративной Wi-Fi сети, мы обнаружили подозрительную активность нескольких iOS-устройств. В результате анализа были обнаружены следы ранее неизвестной вредоносной программы.

Не только стилер: бэкдор Gopuram распространялся посредством атаки на цепочку поставок 3CX

В ходе изучения атаки 3CX на одном из компьютеров мы обнаружили файл guard64.dll. Библиотека с таким же именем использовалась в недавних развертываниях бэкдора, который мы назвали Gopuram и отслеживаем с 2020 года.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике