Windows odhalil nová zadní vrátka, která skrytě spouští virus. Jedná se o komplexní mechanismus

Lukáš Altman
Lukáš Altman
Profil autora
671 článků

Lukáše psaní naplňovalo už od dětství, že se tím bude živit si uvědomil ještě jako student v roce 2013. V tu dobu už si několika dílčími texty začal přivydělávat. Jeho profesionální kariéra začala o tři roky později, kdy se stal externím redaktorem pro portál Alza.cz. Od té doby spolupracoval s řadou firem různých rozsahů a dokonce založil několik vlastních projektů, včetně Mobify.cz, který časem přešel pod společnost abcMedia Network. Nyní se Lukáš řadí mezi nejvlivnější české redaktory v oblasti elektroniky.

Windows odhalil nový typ zadních vrátek, který umí maskovat komunikaci s podvodníkem, a to za běžného provozu PC. Nenápadně tak spustí škodlivé příkazy.

Windows 11

Bezpečnostní analytici popsali neobvyklý způsob, jakým útočníci aktuálně využívají standardní rozhraní API Windows, aby ovládali infikované počítače. Redakce Mobify upozorňuje, že se nejedná o běžný škodlivý kód, ale o celý mechanismus, který umožňuje nenápadné vytváření příkazů a následné spouštění viru přímo ve Windows.

Podvodníci si ve Windows vytvořili zadní vrátka

Základní princip útoku, který teď hýbe počítačovým světem, je až překvapivě primitivní: místo vlastního komunikačního serveru využívá virus běžné API, což je rozhraní, kterým spolu komunikují aplikace a on-line služby. Útočníkům to umožní ztratit se v běžném provozu PC, protože síťová aktivita na první pohled vypadá legitimně.

Zadní vrátka v podobě viru, označená jako SesameOp, sestávají ze 2 částí. První je tzv. zavaděč (loader), tvářící se jako neškodná knihovna Windows. Druhou jsou samotná zadní vrátka (backdoor) napsaná ve frameworku .NET. Do systému se dostanou technikou AppDomainManager injection, jak popisuje Attack.Mitre, která umožňuje vložit vlastní kód přímo do spouštěné aplikace.

Laicky můžeme říct, že malware se jednoduše „přilepí“ na běžné procesy tak, aby nebyl vidět. Když už je uvnitř systému, stahuje ze vzdáleného API šifrované pokyny. Ty se následně rozbalí a virus se začne činit – sbírat data, ovládat zařízení apod. Výsledek se opět odešle přes API zpět útočníkovi. Tak vzniká plnohodnotný komunikační kanál, který běží bez podezřelých varovných signálů.

Na počítačích působili klidně celé měsíce

Dle odborníků byla zadní vrátka objevena na počítačích, na nichž působili útočníci klidně celé měsíce bez toho, aby si jich bezpečnostní systémy všimly. Na vině je hlavně jejich propracovaný systém skrytých procesů a tzv. webových shellů, tedy malých skriptů, které čekají na povely útočníka.

Zavedené knihovny byly velice dobře zamaskované, aby nebylo snadné odhalit jejich skutečný účel. Ve výsledku se tak útočníkům podařilo vytvořit prostředí, v němž jejich kód fungoval téměř neviditelně.

Co mohou uživatelé a firmy udělat

  • pravidelně aktualizovat Windows i všechny knihovny třetích stran
  • sledovat neobvyklé chování procesů, zejména těch spojených s .NET
  • používat monitoring, který se zaměřuje na anomálie, ne jen podpisy známého malwaru
  • minimalizovat použití starších verzí nástrojů, které mohou být napadnutelné

Z dostupných informací už na tento problém poskytovatelé služeb zareagovali a zneplatnili přístupové klíče, které útočníci používali. To však neřeší zranitelnost samotných cílů, ochrana je tedy stále neodmyslitelnou potřebou.

Zdroje

Autorský komentář Lukáše Altmana

Líbí se vám tento článek? Tak pojďte diskutovat.

Diskuze 0

Copyright © 2016-2024 abcMedia Network, s.r.o.
Obsah je chráněn autorským právem. Jakékoli užití včetně publikování nebo jiného šíření obsahu je bez písemného souhlasu zakázáno.