Car-tech

Haittaohjelmat käyttävät Google-dokumentteja välityspalvelimeksi komennon ja valvonnan palvelimelle

TEDxHelsinki - Mikko Hyppönen - Internetin tulevaisuus

TEDxHelsinki - Mikko Hyppönen - Internetin tulevaisuus
Anonim

Symantecin virustentorjunnan toimittajan tietoturvatutkijat ovat paljastaneet haittaohjelman, joka käyttää Google Docsia, joka on nyt osa Google Drive on silta, kun kommunikoi hyökkääjien kanssa piilottaaksesi haitallista liikennettä.

Haittaohjelmat - uusi versio Backdoor.Makadocs -perheestä - käyttää Google Driven Viewer-ominaisuutta välityspalveluna todellinen komento- ja ohjauspalvelin. Google Drive Viewer on suunniteltu sallimaan useiden eri tiedostotyyppien näyttämisen etäosoitteista suoraan Google-dokumentteihin.

"Googlen käytäntöjen vastaisesti Backdoor.Makadocs käyttää tätä toimintoa päästäkseen sen C & C [command in control] -palvelimeen"

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

On mahdollista, että haittaohjelmien tekijä käytti tätä lähestymistapaa, jotta verkkotasolla olisi vaikeampaa suojaavat tuotteet havaitsemaan haitallisen liikenteen, koska se ilmestyy salakirjoitetuiksi yhteyksiksi - Google Drive käyttää oletusarvoisesti tä - yleisesti luotettavaa palvelua, Katsuki sanoi.

"Tämän Google-tuotteen käyttäminen tällaisen toiminnan harjoittamiseen on vastoin tuotepolitiikkamme ", Googlen edustaja sanoi maanantaina sähköpostitse. "Tutkimme ja ryhdymme toimiin, kun olemme tietoisia väärinkäytöksistä."

Backdoor.Makadocs on jaettu Rich Text Format (RTF) tai Microsoft Word (DOC) -dokumenttien avulla, mutta ei hyödynnä haavoittuvuutta asennettaessa sen haittaohjelmia komponentit, Katsuki sanoi. "Se yrittää hämmentää käyttäjän kiinnostusta asiakirjan otsikkoon ja sisältöön ja huijata heitä napsauttamaan sitä ja suorittamaan sen."

Kuten useimmat backdoor-ohjelmat, Backdoor.Makadocs pystyy suorittamaan hyökkääjän C & C-palvelimelta vastaanotetut komennot ja varastaa tietoja tartunnan saaneista tietokoneista.

Symantecin tutkijoiden analysoitavasta versiosta on kuitenkin erityisen mielenkiintoinen se, että se sisältää koodin, joka havaitsee, onko kohdekoneeseen asennettu käyttöjärjestelmä Windows Server 2012 tai Windows 8, Haittaohjelmat eivät käytä Windows 8: lle ainutlaatuisia toimintoja, mutta tämän koodin läsnäolo viittaa siihen, että analysoitu versio on suhteellisen uusi, Katsuki sanoi.

Muut merkkijonot haittaohjelmien koodi ja syötteiden asiakirjojen nimet viittaavat siihen, että sitä käytetään brasilialaisten käyttäjien kohdistamiseen. Symantec arvioi tällä hetkellä haittaohjelmien levitystasoa alhaisena.