Богданов Игорь Олегович (bogdan_63) wrote,
Богданов Игорь Олегович
bogdan_63

Category:

Специалисты ESET обнаружили новый бэкдор

Аналитики ESET сообщили, что нашли новый инструмент Stealth Falcon: малварь использует службу Windows BITS для взаимодействия со своим управляющим сервером.

Обычно Background Intelligent Transfer Service (BITS) используется Microsoft для работы с Windows Update и, когда пользователь не использует свое сетевое соединение, во время простоя происходит обновление ОС. Другие приложения также могут применять BITS для загрузки собственных обновлений.

Обнаруженному вредоносу исследователи присвоили идентификатор Win32/Stealth Falcon. Он действует как базовый бэкдор и позволяет своим операторам загружать и запускать дополнительный код на зараженных хостах или передавать данные на удаленные серверы.

Однако с управляющим сервером малварь связывается не через классические HTTP или HTTPS, но скрывает свой трафик внутри BITS. Исследователи полагают, что это сделано с целью обхода защитных решений, так как они, как правило, игнорируют BITS-трафик, зная, что тот содержит лишь обновления.

В остальном малварь ведет себя весьма тривиально. По-видимому, бэкдор был создан еще в 2015 году, так как для связи с управляющим сервером он использует домены, которые использовались еще PowerShell-бэкдором, описанном еще в отчете Citizen Lab.

https://xakep.ru/2019/09/10/win32-stealth-falcon/
Tags: безопасность
Subscribe
promo bogdan_63 декабрь 1, 2021 13:42 964
Buy for 200 tokens
Очень рад, что вы заглянули в мой блог! Надеюсь, вам будут интересны мои записи. Предлагаю для начала посмотреть разделы: Мой сайт СССР Россия Медицина Медицинские байки Юмор Образование История Культура Буду рад всем новым друзьям. Присоединяйтесь, пообщаемся!…
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 1 comment