lans.by

APT-кампания Slingshot: роутер в роли троянского коня

Одним из наиболее интересных докладов исследователей на конференции Kaspersky Security Analyst Summit (SAS) в этом году стал отчет о Slingshot — крайне изощренной шпионской кампании.

Начальный вектор атаки был необычен тем, что многих жертв преступники атаковали через скомпрометированные роутеры фирмы MikroTik. Программа для управления этими роутерами в ходе эксплуатации загружает и исполняет несколько DLL-файлов.

Киберпреступники нашли способ скомпрометировать устройства, добавив свой вредоносный DLL. А он подгружал целый букет вредоносных файлов, которые также хранились в роутере. Сразу хотим отметить, что эксперты известили производителя роутеров о проблеме, и специалисты MikroTik уже ее устранили. Но эксперты считают, что организаторы кампании Slingshot воспользовались не только роутерами MikroTik — не исключено, что есть и другие скомпрометированные устройства.

Еще один интересный аспект Slingshot — оригинальный способ, которым злоумышленники добились запуска зловреда в режиме ядра. Казалось бы, в современных операционных системах, обновленных до актуальных версий, такой сценарий практически невозможен. Однако данная вредоносная программа ищет на компьютере подписанные драйверы с уязвимостями и выполняет свой код через них.

Вредоносный инструментарий

В кампании Slingshot применялись два шедевра кибершпионских технологий: модули Cahnadr и GollumApp. Cahnadr, работающий в режиме ядра, дает злоумышленнику полный контроль над зараженным компьютером без каких-либо ограничений. Более того, в отличие от большинства зловредов, пытающихся запуститься в режиме ядра, он успешно справляется со своими задачами, не выпадая в синий экран. Второй модуль, GollumApp, отличается еще более широкими возможностями. Он насчитывает примерно 1500 уникальных функций. С этими модулями Slingshot может собирать скриншоты, данные о нажатиях клавиш и любых действиях на рабочем столе, сетевой трафик, пароли, содержимое буфера обмена и многое другое. И все это без использования каких-либо уязвимостей нулевого дня.

Борьба с обнаружением

Реальная опасность кампании Slingshot заключается в том, что она применяет множество хитрых приемов для того, чтобы избежать обнаружения. Зловред может отключать свои компоненты, заметив признаки криминалистического анализа. Более того, Slingshot работает с собственной зашифрованной файловой системой в незанятой части жесткого диска. Больше подробностей о Slingshot читайте на портале Securelist.

Как противостоять APT-угрозам уровня Slingshot

Если вы владелец роутера MikroTik и пользуетесь управляющим ПО WinBox, установите последнюю версию программы и убедитесь, что внутренняя ОС роутера обновлена до актуальной версии. Однако имейте в виду, что обновления закрывают лишь один вектор атаки и не являются панацеей против самой APT-угрозы. Только стратегический подход сможет защитить вашу компанию от сложных целевых атак. 

Источник

Leave a Reply

Your email address will not be published. Required fields are marked *