Νέο malware (απόγονος του Stuxnet) εισβάλει σε τράπεζες και οργανισμούς παγκοσμίως

[nnn]

Ένας απόγονος του Stuxnet αρχίζει να κάνει την εμφάνιση του σε τραπεζικά ιδρύματα και άλλους οργανισμούς παγκοσμίως, σύμφωνα με την Kaspersky που εντόπισε μολύνσεις σε πάνω από 140 οργανισμούς ως τώρα.

Το malware που πήρε την κωδική ονομασία Duqu 2.0, δεν εντοπίζεται μετά την μόλυνση του server και χρησιμοποιείται για την κλοπή χρημάτων από λογαριασμούς. Μετά την επιτυχή μόλυνση ενός συστήματος, το αποκαλούμενο fileless malware, στο επόμενο reboot μετονομάζει τον εαυτό του και διαγράφει κάθε είδος παρουσίας του. Η Kaspersky εντόπισε ίχνη του σε 40 χώρες, με 21 μολύνσεις να έχουν γίνει στις ΗΠΑ.

Δημοσίευσε σχετική αναφορά και θα δώσει περισσότερα στοιχεία τον Απρίλιο.

Πηγή : Gizmodo

[puntomania]

αυτό αφορά... windows server να υποθέσω?

[ditsikts]

Ναι. Αν ήταν linux θα το έγραφε στο τίτλο

[ludist]

Φαντάσου να είσαι τράπεζα και να έχεις κολλήσει ιό. Ωραίο συναίσθημα.

Χρησιμοποιούν bash για να βγάλουν άκρη. Καλό.

In order to get the PowerShell payload used by the attackers from the memory dumps, we used the following BASH commands:

Κώδικας:

cat mal_powershell.ps1_4 | cut -f12 -d” ” | base64 -di | cut -f8 -d\’ | base64 -di | zcat – | cut -f2 -d\( | cut -f2 -d\” | less | grep \/ | base64 -di | hd

Resulting in the following payload:

hd? hexdump?

[eyw]

Κάποιος δικός τους το φυτεύει στα συστήματά τους. Μετά οι υπόλοιποι ψάχνουν να βρουν τα τι και πως και πότε και απο που.
Οταν κάτι είναι memory based δεν τρώει μνήμη απο το σύστημα, και μάλιστα τόσο έξυπνο malware και τα αντι-κάτι δεν σφυράνε?
Μήπως οι admin και sysops είναι συμβασιούχοι και τους κάνουν rotation ή outsourcing για οικονομία?

Νάξερα πως γίνεται memory forensics και τίποτα άλλο.

Να βάλουν FreeBSD.

[delta9]

Ναι. Αν ήταν linux θα το έγραφε στο τίτλο

[GrandGamer]

αυτό αφορά... windows server να υποθέσω?

Βασικά χρησιμοποιεί λειτουργίες των Windows σύμφωνα με την Kaspersky οπότε μάλλον δεν επηρεάζει άλλα λειτουργικά, εκτός αν δεν το έχουν βρει ακόμα.

[ironfist]

Ναι. Αν ήταν linux θα το έγραφε στο τίτλο

Θεϊκό καρφί

[zardoz]

Διάβασα το άρθρο.

1. Ποιός έτρεξε το Mimikatz ? Χρειάζεται είτε φυσική πρόσβαση στο server είτε μέσω terminal server.
Εδώ μιλάμε κατάφορα για inside job

2. Ο χάρτης που δείχνει παρακάτω ΔΕΝ ΑΦΟΡΑ το συγκεκριμένο συμβάν (το οποίο ξαναλέω είναι inside job).
Αφορά ένα "γενικό" χάρτη με σημεία που έχουν μολυνθεί με powershell scripts που τρέχουν fileless trojans.

Η ασφάλεια ενός δικτύου είναι ίση με την αξιοπιστία όσων το διαχειρίζονται.

[gnavro]

Ναι. Αν ήταν linux θα το έγραφε στο τίτλο

'nough said

[eyw]

... Η ασφάλεια ενός δικτύου είναι ίση με την αξιοπιστία όσων το διαχειρίζονται.

απλός περιεκτικός, τέλειος.

Και τωρα έτσι για να γράψω και γω κάτι, και απο την κατάρτιση και επαγγελματισμό όσων το διαχειρίζονται.

[keysmith]

Η ασφάλεια ενός δικτύου είναι ίση με την αξιοπιστία όσων το διαχειρίζονται.

"Η ασφάλεια ενός δικτύου είναι μικρότερη/ίση με την αξιοπιστία όσων το διαχειρίζονται"

fixed..

[giotis1982]

Στο Linux θα το βρουν 20 χρόνια μετά...

[Helene]

Σε πληρώνει Duqu