A netkapcsolat nélküli gépekre is van kártevő

2016. március 29. 10:09 - Csizmazia Darab István [Rambo]

Általános vélekedés és jótanács volt a biztonsági szakemberektől, hogy az igazán fontos adatainkat tartalmazó számítógépeket, vagy azok hálózatát ne csatlakoztassuk az internethez, így megvédhetjük őket a rosszindulatú adatlopó kártevőktől. Azonban ez már a múlt, a legújabb USB adathordozókon terjedő adatlopási módszerhez ugyanis nem szükséges internetkapcsolat és telepített program sem, csak egy fertőzött adathordozó. Az ESET szakemberei fedezték fel az USB Thief névre keresztelt kártevőt, amelynek működési mechanizmusa jelenleg komoly kihívás elé állítja a szakértőket is.

Értékes adataink eltulajdonításának megakadályozását eddig nagyban könnyítette, ha az ezeket tartalmazó gépeket nem kapcsoltuk közvetlen az igazán veszélyes elemeket tartalmazó világhálóra.

A most felfedezett kártevőnek köszönhetően azonban újabb veszélyforrás került napvilágra. Fizikai behatolás nélkül egy kölcsönadott pendrive-val nyom nélkül lehet érzékeny adatokat eltulajdonítani, ami komoly kockázatot jelent minden felhasználó és szervezet számára

Az USB-n terjedő kártevők azért jelenthetnek komoly veszélyt, mert a felhasználók általában gondolkodás és ellenőrzés nélkül használják ezeket az eszközöket. Még akkor is, ha például az utcán találták azokat.

Hogy ez mennyire igaz, arra jó példa az a nemrégiben elvégzett felmérés eredménye, melyben a Sicontact Kft. partnereit és ügyfeleit kérdezte meg elvesztett, ellopott vagy esetlegesen talált adathordozókkal kapcsolatban.

Az 1787 darab online beküldött válaszból kiderül, hogy a válaszadók 21%-a talált már más által elhagyott adathordozót, és ebből nagy többségük meg is nyitotta ezek tartalmát (az összes válaszadó 18 százaléka). A biztonsági megoldások használata mellett, így folyamatosan felértékelődik a felhasználók biztonságtudatossága is.

Amíg nem érti meg minden felhasználó, hogy egy-egy ismeretlen vagy nem ellenőrzött forrásból származó USB milyen veszélyeket rejthet, addig a számítógépek vagy akár izolált hálózataink is folyamatos veszélynek vannak kitéve.

Az ESET kutatói által felfedezett Win32/PSW.Stealer.NAI adatlopó trójai kártevőt USB Thief-nek keresztelték el. A kártevő kizárólag USB kulcsokon terjed, anélkül hogy bármilyen bizonyítékot hagyna a fertőzött számítógépeken. Az alkotói speciális működési mechanizmust alkalmaznak, ami még nehezebbé teszi a kártevő másolását, felderítését és elemzését.

A kártevő újfajta fenyegetést jelent az adatainkra: rejtett támadásaival képes az izolált hálózatainkon (air-gapped) lévő adatok eltulajdonítására, ráadásul a felderítés és visszafejtés ellen is védi magát.

Mivel nem hagy maga után nyomot, így egyáltalán észre sem vesszük, hogy adatlopás történt.

Egy másik funkciója, amely szintén szokatlanná és egyedivé teszi az USB Thief kártevőt, hogy egyetlen egy USB eszközhöz kötődik, amely megakadályozza, hogy elemzés céljából lemásoljuk a fertőző állományokat.

Ezen felül az USB Thief több rétegű titkosítást használ, amely szintén a kártevőt tartalmazó USB eszközhöz kötődik, tovább nehezítve a felderítést és az elemzést. Az USB Thief kártevő hordozható alkalmazások (pl. Firefox, Notepad++, Truecrypt stb.) plugin forrásában vagy az alkalmazás által használt DLL-ben tárolódik. A fertőzött alkalmazás indításával így egyben a kártevőt is élesíti a háttérben a gyanútlan felhasználó.

A kártevőről további részleteket a Tomáš Gardoň interjúban, vagy az ESET WeLiveSecurity blogjának technikai elemzésben olvashatunk.

5 komment

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr608534192

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Hóhér az utolsó barátod · http://internetszemete.blog.hu 2016.03.29. 10:21:32

Azon töprengek, valahányszor olvasok erről a témáról, hogy egy hálózatról biztonsági ok miatt leválasztott gépbe hogy kerülhet ilyen pendrive (értsd: talált, ki tudja mit tartalmazó)? Ilyen gépeket nem szokás felelőtlen, tudatlan emberekre bízni (tapasztalatom és reményeim szerint ;) )
A másik amit nem értek: ha mégis bedugnak egy fertőzött drive-ot, az ellopott adatok hálózat hiányában hogy jutnak el a tolvajhoz?
Jó, el tudok képzelni olyan esetet, hogy valakinek a pendrive-ját kicserélik titokban, aztán az adatlopás végrehajtása után visszacserélik, de ez már egy másik kategória.

KAMA3 2016.03.29. 12:29:23

Hát kreatívan meg lehet oldani. Például a vírus kicsipogja az adatokat a hangszórón keresztül. Egy netre kötött közeli laptop mikrofonja segítségével máris el lehet lopni az adatokat.

Before · http://azbeszt.blog.hu 2016.03.30. 11:21:23

Vagy éppen van neki egy jelentő része, ami figyeli, hogy az adott gépen van-e netkapcsolat, és ha igen, akkor továbbítja a már megszerzett adatokat. Jellemzően nem egy gépen használnak egy pendrive-ot...

PonDrow 2016.03.30. 14:55:55

Tehát rendszergazdai jogosultság nélkül képes futni. Sok helyen azért le is tiltják a pendrájvok működését policy szinten.
Marad a Unix/Thin Client? :)

fordulo_bogyo 2016.03.31. 00:38:39

Az OK, hogy meg lehet fertozni egy gepet virussal, ezzel-azzal USB-rol, CD-rol, DVD-rol, floppyrol... de hogyan kuldi haza az ellopott informaciot a virus, ha egyszer a gep nincs a halozaton? Megvarja, amig jon egy masik USB, es arra irja ki a lopott infot, hatha az a USB elobb-utobb egy halozaton levo gepre is eljut?