{"id":2975,"date":"2020-07-27T08:24:12","date_gmt":"2020-07-27T06:24:12","guid":{"rendered":"https:\/\/xopero.com\/blog\/?p=2975"},"modified":"2023-08-16T15:05:44","modified_gmt":"2023-08-16T13:05:44","slug":"botnet-prometei-shadow-attack-meow-backdoor-rdat","status":"publish","type":"post","link":"https:\/\/xopero.com\/blog\/pl\/botnet-prometei-shadow-attack-meow-backdoor-rdat\/","title":{"rendered":"Botnet Prometei \/ Shadow Attack \/ 'Meow’ \/ Backdoor RDAT"},"content":{"rendered":"\n

Witajcie w kolejnej ods\u0142onie Centrum Bezpiecze\u0144stwa Xopero<\/a>! Botnet Prometei to g\u0142\u00f3wny temat tego zestawienia. Nowo odkryte zagro\u017cenie wykorzystuje r\u00f3\u017cnorodne techniki, dzi\u0119ki kt\u00f3rym mo\u017ce pozosta\u0107 niezauwa\u017cony przez dosy\u0107 d\u0142ugi czas. Jakie dok\u0142adnie? Wi\u0119cej w tym temacie przeczytacie poni\u017cej.<\/p>\n\n\n\n\n\n\n\n

<\/div>\n\n\n\n<\/a>\n\n\n

1. Botnet Prometei \u0142amie zabezpieczenia Windows SMB i kradnie Monero<\/strong><\/h2>\n\n\n

Prometei – niedawno wykryty bonet, kt\u00f3rego celem jest wykradanie kryptowaluty Monero (XMR) jest niezwykle ciekawy ze wzgl\u0119du na sw\u00f3j modus operandi. Wykorzystuje on rozbudowany system modu\u0142owy i r\u00f3\u017cnorodne techniki w celu naruszenia system\u00f3w i ukrycia swojej obecno\u015bci. <\/p>\n\n\n\n

\u0141a\u0144cuch infekcji rozpoczyna si\u0119 od pr\u00f3by z\u0142amania zabezpiecze\u0144 protoko\u0142u Windows Server Message Block (SMB) za po\u015brednictwem luk, w tym Eternal Blue.<\/p>\n\n\n\n

Nast\u0119pnie wykorzystywane s\u0105 ataki Mimikatz i brute-force do skanowania, przechowywania i testowania skradzionych danych uwierzytelniaj\u0105cych. Wszelkie wykryte has\u0142a s\u0105 nast\u0119pnie wysy\u0142ane do serwera C&C przest\u0119pc\u00f3w w celu ponownego wykorzystania przez inne modu\u0142y, kt\u00f3re pr\u00f3buj\u0105 zweryfikowa\u0107 wa\u017cno\u015b\u0107 has\u0142a w innych systemach korzystaj\u0105cych z protoko\u0142\u00f3w SMB i RDP.<\/p>\n\n\n\n

W sumie Prometei ma ponad 15 wykonywalnych modu\u0142\u00f3w, kontrolowanych przez jeden g\u0142\u00f3wny. Botnet jest podzielony na dwie ga\u0142\u0119zie funkcyjne: jedn\u0105 C ++ po\u015bwi\u0119con\u0105 operacjom kopania kryptowaluty i drug\u0105- opart\u0105 na .NET – kt\u00f3ra koncentruje si\u0119 na kradzie\u017cy danych uwierzytelniaj\u0105cych, nadu\u017cywaniu SMB i zaciemnianiu.<\/p>\n\n\n\n

Modu\u0142y pomocnicze mog\u0105 komunikowa\u0107 si\u0119 przez sieci TOR lub I2P, zbiera\u0107 informacje o systemie, sprawdza\u0107 otwarte porty, rozprzestrzenia\u0107 si\u0119 po SMB i skanowa\u0107 w poszukiwaniu portfeli kryptowalut. <\/p>\n\n\n\n

Po przej\u0119ciu systemu i dodaniu go do botnetu, osoba atakuj\u0105ca mo\u017ce realizowa\u0107 r\u00f3\u017cne zadania. W tym wykonywa\u0107 polecenia i programy, uruchamia\u0107 pow\u0142oki, ustawia\u0107 klucze szyfrowania RC4 do komunikacji, otwierania, pobierania i kradzie\u017cy plik\u00f3w, uruchamia\u0107 operacje wydobywania kryptowalut oraz wiele wi\u0119cej.  <\/p>\n\n\n\n

Na razie Prometei nie rozbi\u0142 banku, ale botnet jest aktywny dopiero od marca 2020 r. Mo\u017cemy wi\u0119c jeszcze o nim us\u0142ysze\u0107. <\/p>\n\n\n\n

\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n

<\/div>\n\n\n\n<\/a>\n\n\n

2. Shadow Attack zmieni tre\u015b\u0107 podpisanego cyfrowo PDF na inn\u0105<\/strong><\/h2>\n\n\n

15 z 28 aplikacji do tworzenia i modyfikacji plik\u00f3w PDF jest podatnych na nowy atak, kt\u00f3ry pozwala atakuj\u0105cym zmienia\u0107 tre\u015b\u0107 podpisanego elektronicznie dokumentu PDF. Wykryty zosta\u0142 przez naukowc\u00f3w z Ruhr University w Bochum w Niemczech i nazwany Shadow Attack (CVE-2020-9592 i CVE-2020-9596).<\/p>\n\n\n\n

Na li\u015bcie podatnych aplikacji znajduj\u0105 si\u0119 Adobe Acrobat Pro, Adobe Acrobat Reader, Perfect PDF, Foxit Reader, PDFelement i wiele innych.<\/p>\n\n\n\n

Idea tej techniki opiera si\u0119 na koncepcie \u201cwarstw widoku\u201d – r\u00f3\u017cnych zestaw\u00f3w tre\u015bci, kt\u00f3re nak\u0142adane s\u0105 jedna na drug\u0105 w dokumencie PDF. Do ataku dochodzi w momencie, gdy atakuj\u0105cy przygotowuje dokument z r\u00f3\u017cnymi warstwami i wysy\u0142a go do podpisu. Ofiara podpisuje cyfrowo widoczn\u0105 warstw\u0119 dokumentu, ale gdy wraca on do nadawcy – ten zmienia j\u0105 na inn\u0105. <\/p>\n\n\n\n

Poniewa\u017c pocz\u0105tkowo niewidoczna warstwa zosta\u0142a zawarta w oryginalnym dokumencie podpisanym przez ofiar\u0119, zmiana jej widoczno\u015bci nie \u0142amie podpisu kryptograficznego i pozwala atakuj\u0105cemu na wykorzystanie prawnie wi\u0105\u017c\u0105cego dokumentu do niecnych dzia\u0142a\u0144. Takich jak zmiana odbiorcy p\u0142atno\u015bci lub sumy w poleceniu zap\u0142aty w formacie PDF czy zmiana klauzul umownych.<\/p>\n\n\n\n

Istniej\u0105 trzy mo\u017cliwe warianty Shadow Attack: <\/p>\n\n\n\n