Harry James
0 
2224
516
Her gün ve sonra yeni bir kötü amaçlı yazılım varyantı, güvenlik risklerinin her zaman artmakta olduğunu hatırlatıyor. QakBot / Pinkslipbot bankacılığının Trojan'ı bunlardan biri. Bankacılık kimlik bilgilerinin toplanmasından memnun olmayan kötü amaçlı yazılımlar artık bir güvenlik ürünü orijinal amacını durdurduktan hemen sonra oyalanabilir ve kontrol sunucusu olarak görev yapabilir.
OakBot / Pinkslipbot nasıl aktif kalır? Ve sisteminizden nasıl tamamen çıkarabilirsiniz??
QakBot / Pinkslipbot
Bu bankacılık Trojan iki isim ile gider: QakBot ve Pinkslipbot. Kötü amaçlı yazılımın kendisi yeni değil. İlk 2000'lerin sonunda konuşlandırıldı, ancak on yıl sonra hala sorunlara yol açıyor. Şimdi, bir güvenlik ürünü orijinal amacını azaltsa bile, Trojan kötü niyetli aktiviteyi uzatan bir güncelleme aldı.
Enfeksiyon bağlantı noktalarını açmak ve internetteki herhangi birinden gelen bağlantılara izin vermek için evrensel tak ve çalıştır özelliğini (UPnP) kullanır. Pinkslipbot daha sonra bankacılık kimlik bilgilerini toplamak için kullanılır. Her zamanki kötü amaçlı araç dizisi: keylogger, parola hırsızları, MITM tarayıcı saldırıları, dijital sertifika hırsızlığı, FTP ve POP3 kimlik bilgileri ve daha fazlası. Kötü amaçlı yazılım, 500.000'den fazla bilgisayar içerdiği tahmin edilen bir botnet'i kontrol eder. (Zaten bir botnet nedir? Bilgisayarınız Zombi midir? Ve Zombi Bilgisayar Nedir, Her Neyse? [Açıklanamayanlar Yapılır] Bilgisayarınız Zombie midir? İnternet spam’i geliyor: Muhtemelen her gün yüzlerce spam filtreli önemsiz e-posta alıyorsunuz. Bu, orada yüzlerce ve binlerce insan var, oturuyor…)
Kötü amaçlı yazılım, çoğunlukla, hazine, şirket veya ticari bankacılık tesislerinde bulunan virüslü cihazların yüzde 89’u ile ABD bankacılık sektörüne odaklanıyor..
Resim Kredisi: IBM X-Force
Yeni Bir Varyant
McAfee Labs'daki araştırmacılar yeni Pinkslipbot varyantını keşfetti.
“UPnP, yerel uygulamaların ve cihazların güvenilir olduğunu varsaydığından, güvenlik koruması sağlamaz ve ağdaki virüslü herhangi bir makine tarafından kötüye kullanılmaya eğilimlidir. Aynı ev ağındaki ayrı bilgisayarlarda barındırılan birden fazla Pinkslipbot kontrol sunucusu proxy'sinin yanı sıra ortak bir Wi-Fi ortak erişim noktası gibi göründüklerini gördük.,” McAfee Anti-Malware Araştırmacısı Sanchit Karve. “Bildiğimiz kadarıyla, Pinkslipbot, 2008’deki rezil Conficker solucanından sonra port iletimi için UPnP’i kullanan HTTPS tabanlı kontrol sunucuları ve virüs bulaşan makineleri kullanan ilk kötü amaçlı yazılımdır..”
Sonuç olarak, McAfee araştırma ekibi (ve diğerleri), virüslü bir makinenin tam olarak nasıl proxy haline geldiğini belirlemeye çalışıyor. Araştırmacılar üç faktörün önemli bir rol oynadığını düşünüyor:
- Kuzey Amerika'da bulunan bir IP adresi.
- Yüksek hızlı internet bağlantısı.
- UPnP kullanarak bir internet ağ geçidi üzerindeki portları açabilme.
Örneğin, kötü amaçlı yazılım, yeterli bant genişliği olup olmadığını kontrol etmek için Comcast's Speed Test servisini kullanarak bir görüntü indirir..
Pinkslipbot uygun bir hedef makine bulduğunda, kötü amaçlı yazılım, İnternet Ağ Geçidi Cihazları (IGD) aramak için Basit Hizmet Bulma Protokolü paketi verir. Sırasıyla IGD, bağlantı yönlendirme kuralları oluşturulmasını gören olumlu bir sonuç ile bağlantı için kontrol edilir.
Sonuç olarak, kötü amaçlı yazılım yazarı, bir makinenin enfeksiyona uygun olup olmadığına karar verdiğinde, bir Truva atı indirir ve dağıtır. Bu kontrol sunucusu proxy iletişiminden sorumludur..
Yok etmek Zor
Anti-virüs veya kötü amaçlı yazılımdan koruma yazılımınız QakBot / Pinkslipbot yazılımını başarıyla tespit etmiş ve kaldırmış olsa bile, kötü amaçlı yazılımlar için bir kontrol sunucusu proxy'si olarak hizmet verme olasılığı vardır. Siz farkında olmadan, bilgisayarınız hala savunmasız olabilir.
“Pinkslipbot tarafından oluşturulan port yönlendirme kuralları, yanlışlıkla ağ yanlış yapılandırmaları riski olmadan otomatik olarak kaldırılamayacak kadar geneldir. Kötü amaçlı yazılımların çoğu bağlantı noktası iletme işlemine müdahale etmediğinden kötü amaçlı yazılımdan koruma çözümleri bu değişiklikleri geri döndürmeyebilir,” Karve diyor. “Maalesef, bu, antimalware ürününüz tüm Pinkslipbot ikili dosyalarını sisteminizden başarıyla kaldırmış olsa bile, bilgisayarınızın hala dış saldırılara karşı savunmasız olabileceği anlamına gelir..”
Kötü amaçlı yazılımlar, solucan yeteneklerine sahip Virüsler, Casus Yazılımlar, Kötü Amaçlı Yazılımlar, vb. Özellikleri açıklamaktadır. Web oldukça korkutucu bir yer gibi görünmeye başlar. bu, paylaşılan ağ sürücüleri ve diğer çıkarılabilir medya aracılığıyla kendi kendini çoğaltabileceği anlamına gelir. IBM X-Force araştırmacılarına göre, etkilenen bankacılık kuruluşlarının çalışanlarını saatlerce çevrimdışı olarak zorlayan Active Directory (AD) kilitlenmelerine neden oldu.
Kısa Kaldırma Kılavuzu
McAfee Pinkslipbot Control Server Proxy Algılama ve Bağlantı Noktası İletme Kaldırma Aracı (veya PCSPDPFRT, kısaca… Şaka yapıyorum). Aracı buradan indirebilirsiniz. Ayrıca, kısa bir kullanım kılavuzu burada bulunmaktadır [PDF].
Aracı indirdikten sonra, sağ tıklayın ve Yönetici olarak çalıştır.
Araç, sisteminizi otomatik olarak tarar. “modu algıla.” Kötü amaçlı bir etkinlik yoksa, araç sisteminizde veya yönlendirici yapılandırmanızda herhangi bir değişiklik yapmadan otomatik olarak kapanır.
Ancak, araç kötü amaçlı bir öğe tespit ederse, / del port yönlendirme kurallarını devre dışı bırakmak ve kaldırmak için komut.
Tespitten Kaçınmak
Bu sofistike bir bankacılık Truva atı görmek biraz şaşırtıcı..
Yukarıda belirtilen Conficker solucan dışında “UPnP'nin malware tarafından kötü amaçlı kullanımı hakkında bilgi azdır.” Daha açık bir ifadeyle, UPnP kullanan IoT cihazlarının büyük bir hedef (ve güvenlik açığı) olduğu açık bir sinyaldir. IoT cihazları her yerde yayıldıkça, siber suçluların altın bir fırsata sahip olduğunu kabul etmek zorundasınız. (Buzdolabınız bile risk altında! Samsung'un Akıllı Buzdolabı Pwned. Akıllı Evinizin Kalanı Hakkında? Samsung'un Akıllı Buzdolabı Pwned. Akıllı Evinizin Kalanı Hakkında? Samsung'un akıllı buzdolabındaki bir güvenlik açığı İngiltere tarafından keşfedildi tabanlı infosec firması Pen Test Parters. Samsung'un SSL şifreleme uygulaması, sertifikaların geçerliliğini kontrol etmiyor.)
Ancak Pinkslipbot kötü amaçlı yazılım varyantını kaldırmak zor bir duruma dönüşürken, en yaygın finansal kötü amaçlı yazılım türlerinde hala yalnızca 10. sırada yer almaktadır. Zirve noktası hala Müşteri Maximus tarafından tutuluyor.
Resim Kredisi: IMB X-Force
Azaltma, kötü amaçlı kötü amaçlı yazılımlardan kaçınmanın anahtarı olarak kalır; bu işletme, işletme veya ev kullanıcısı. Kimlik avına karşı temel eğitim Kimlik avı e-postasını nasıl belirleyebilirim Kimlik avı e-postasını nasıl belirleyebilirim Kimlik avı e-postasını yakalamak zordur! Dolandırıcılar, PayPal veya Amazon olarak poz veriyor, şifrenizi ve kredi kartı bilgilerinizi çalmaya çalışıyor, aldatmaları neredeyse mükemmel. Size sahtekarlığı nasıl tespit edeceğinizi gösteriyoruz. ve diğer hedefli kötü niyetli faaliyet türleri Dolandırıcılar, Öğrencileri Hedeflemek için Dolandırıcılık E-postalarını Nasıl Kullanıyor Dolandırıcılar, Öğrencileri Hedeflemek için Dolandırıcılık E-postalarını Nasıl Kullanıyor? Öğrencilere yönelik dolandırıcılık sayısı artıyor ve birçoğu bu tuzağa düşüyor. İşte bilmeniz gerekenler ve bunlardan kaçınmak için yapmanız gerekenler. bir organizasyona (hatta evinize) giren bu tür enfeksiyonları durdurmak için büyük bir yol açın.
Pinkslipbot'tan Etkilenir mi? Evde miydi yoksa kuruluşun mu? Sisteminizi kilitlediniz mi? Aşağıdaki deneyimlerinizi bize bildirin!
Resim kredisi: Shutterstock ile akocharm