Evernote, a sokoldalú elefánt

2013. március 28. 20:10 - Csizmazia Darab István [Rambo]

Aki nem ismerné, az Evernote programot, egy jó kis toplistás jegyzetkezelő alkalmazásról van szó, amely ment, platformok közt megoszt, szinkronizál, kávét főz és dunyhát húz ;-) Sok felhasználója révén tökéletes fedezék, ezért most a kártevőkészítők is bevették egy kicsit a terveikbe, és Command & Control Serverként is bizonyított.

A hagyományos klasszikus botnetek korábban általában egyetlen C&C központi ellenőrző szerver segítségével voltak irányíthatóak, ám ha ezt lelőtték, időbe telt, amíg rosszfiúk átszervezték a kommunikációt. Ezért aztán rendre jött mindenféle trükk, leleményesség, több szerver, még több találékonyság, új megközelítések jelentek meg, a nem hagyományos utak egyik úttörőjeként például már 2009-ben is szerepeltek Twitter posztok RSS feedjei mint vezérlők.

Amit aztán később követtek a további közösségi helyek, mint a LinkedIn és társai, de megvolt nekik a JPG kép és a Word 2007 doksi is. De sok szó esett már a nehezebben kiiktatható Peer to Peer (P2P) egyre újabb irányítási módszerekről is, amelyeket például egyes Zeus/Spyeye verziók kapcsán sikerült felfedezni - amúgy az ilyen kommunikáció megfigyelése, leleplezése korántsem egy egyszerű feladat.


Most legújabban a zöld elefántot is jól becserkészték egy ilyen kis menetre, szakértők egy olyan hátsóajtót telepítő trójai kártevőt azonosítottak, amely Evernote account segítségével lop el adatokat. A kártevő egy DLL fájlt telepít, amelynek segítségével információkat gyűjt a rendszerről: gépnév, felhasználó, OS, időzóna, miegymás, majd a fertőzött gép csatlakozik egy kínai Evernote szerverhez, ahonnan aztán további utasításokat vár és tetszőleges parancsokat hajt végre, letöltés, futtatás, átnevezés és hasonlók. Vicces módon ezt az elemzést nem sikerült teljesen végigvinni, mert időközben egy teljesen másik hacker incidens miatt generálisan jelszavakat reseteltek, ebbe pedig beleesett ez a bizonyos megfigyelt account is.


Összefoglalva látszólag senki nem kerülheti el a sorsát, hogy ilyen jellegű C&C kísérletezgetés alanya legyen, beleesett ebbe a Google Docs, a Dropbox vagy a Box.net is. Nyilvánvalóan a trójai készítők is igyekeznek a fertőzött kommunikációt folyamatosan átterelni a feltűnő szokatlan területekről a nehezebben leleplezhető legitim forgalmak mezejére, és ez a típusú macska-egér harc egész bizonyosan még sokáig folytatódni fog. Ma az Evernote, holnap a Világ! :-)

Szólj hozzá!
Címkék: control c&c botnet command evernote

Ajánlott bejegyzések:

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása