Адмыслоўцы SecureWorks выявілі ботнет, які маскіруе інструкцыі ад кантралявалага цэнтра пад JPEG-файлы. Па заявах адмыслоўцаў, гэтая маскіроўка пад малюначкі далёка не дасканалая, таму яна суцэль паддаецца "вылічэнню" ахоўнымі сродкамі.
Гаворка ідзе аб траянскай праграме, якую ў SecureWorks завуць Monkif/DlKhora. Асноўнае прызначэнне гэтага траяна складаецца ў загрузцы на заражаны кампутар іншых праграм і іх наступным запуску. Акрамя таго, Monkif спрабуе адключаць усталяваныя на кампутары антывірусную абарону і файрвол. Адмыслоўцы адзначаюць, што адмысловая цікавасць уяўляе схема ўзаемадзеяння гэтага загрузнага траяна з кантралявалым цэнтрам. Інструкцыі ад яго прыходзяць у такім выглядзе, нібы гэта HTTP-сервер, які вяртае малюнак у фармаце JPEG па запыце кліенцкай машыны. У прыватнасці, яны суправаджаюцца HTTP-загалоўкам з "Content-Type: image/jpeg", а таксама 32-байтным JPEG-загалоўкам. Бот маніторыць уваходны трафік. Распазнае такі загаловак, і затым дэкадуе пакінутую частку паведамлення. Зрэшты, як кажуць у SecureWorks, нягледзячы на тое, што задуманая гэтая схема з некаторай дзеллю фантазіі, рэалізаваная яна даволі сякерна. Так, інструкцыі кадуюцца вельмі прымітыўна: "выняткоўвалае або" з фіксаваным однобайтовым ключом. Маскіроўка пад малюначак таксама з'яўляецца неідэальнай. Нават дадзеныя аб памеры малюнка ў падробленым JPEG-загалоўку не адпавядаюць самому "малюнку"-інструкцыі. Усё гэта можа быць выкарыстана адмыслоўцамі для отлавливания такіх інструкцый увогуле трафіку.
SecureWorks: ботнет хавае інструкцыі ў малюначкі
2 кастрычніка 2009
Каментароў (0)