RSS
Словарь компьютерных терминов    1_9  A  B  C  D  E  F  G  H  I  J  K  L  M  N  O  P  Q  R  S  T  U  V  W  X  Y  Z   .....  A  Б  В  Г  Д  Ж  З  И  К  Л  М  Н  О  П  Р  С  Т  У  Ф  Х  Ц  Ч

РАЗДЕЛЫ
 Windows10
  Registry Windows 10
  Windows 10 tweaks & tricks
Windows8
Tweaks & tricks
  Network settings
  Registry
Windows7
Windows7: General settings
  Windows7: Registry
  Windows7: Registry faq
  Настройки оболочки Windows7 в реестре
  Windows7: Network settings
  Настройки Internet Explorer в реестре
  Windows7: Security
  Windows7: Firewall
  Windows7: Compatibility Mode
  Windows7: Administrator Password
  Windows7: Панель управления
  Тонкие настройки Windows7
Windows NT/2K/XP/VISTAWindows NT/2K/XP/VISTA
 Win 2K faqWin PE
  Win Vista
  Win Vista FAQ
  Win Server tweaks
RegistryRegistry
Reg WIN2K/XP faq
Reg WIN2K/XP faq #2
Reg NT/XP: Structure
Reg XP: Restore & backup
Reg XP: Costumize XP
Reg XP: Inet
Reg NT/XP: SAM
Reg: Inet & LAN
BIOSBIOS
BIOS faq
BIOS recover
BIOS #
Карта сайта Память
Карта сайтаSDRAM
  DDR
  DDR2
  DDR3
  Quad Band Memory (QBM)
  SRAM
  RDRAM
  FeRAM
  RAM faq
Словарь терминовСловарь терминов
Справочник по мета тегамHTML
Справочник по мета тегам
XML
DHTML
CGI
PHP
DLE faq
Файл .htaccess
Настройка robots.txt
Flash
Search engine optimization and site usabilitySEO
INET


computer ambulance

Троян TelegramRAT использует недавно закрытую уязвимость MSOffice


Атаки с использованием TelegramRAT распространяется под видом вредоносного документа Microsoft Office, эксплуатирующего уязвимость CVE-2017-11882, которая была в редакторе уравнений Microsoft (EQNEDT32.EXE) с ноября 2000 года. Ошибка оставалась незамеченной в течение 17 лет, пока Microsoft вручную не исправила ее в прошлом месяце , но злоумышленникам не потребовалось много времени, чтобы начать эксплуатировать её.

В рамках недавно обнаруженной атаки, служба перенаправления URL-адреса Bit.ly используется для скрытия нагрузки TelegramRAT, размещенной в Dropbox. Вредоносная программа использует Telegram BOT API для приема команд и отправки ответов по HTTPS злоумышленнику. Используя облачные приложения SSL для заражения и операций C & C, вредоносное ПО может поддерживать связь, скрытую от приложений безопасности.

«Исполняемые строки полезной нагрузки содержали множество ссылок на файлы Python. После быстрого анализа полезная нагрузка выглядела как программа Python, преобразованная в автономный исполняемый файл, содержащий все необходимое для запуска приложения», - констатирует Netskope.

Поскольку интерпретатор Python, код приложения и все необходимые библиотеки упакованы, исполняемый файл имеет большой размер, что также делает его менее подозрительным.

В пределах извлеченного каталога исследователи обнаружили файлы PYD, файлы DLL и папку out00-PYZ.pyz_extracted, содержащую файлы .pyc. Они также обнаружили файл под названием «RATAttack», который указывает на «RAT-via-Telegram» с открытым исходным кодом на GitHub.

Нападавшие использовали почти точный код из GitHub при компиляции своего исполняемого файла Python, обнаружили исследователи безопасности Netskope.

Используя мессенджер Telegram, который поддерживает зашифрованную связь, злоумышленники могут легко обмениваться с целевым объектом, и не быть обнаруженными. Авторы RAT создают бот Telegram и вставляют маркер Telegram бота в конфигурационный файл TelegramRAT. Затем вредоносное ПО подключается к каналу Telegram бота, где злоумышленник может выдавать команды для зараженных машин.

На основе полученных команд вредоносное ПО может выполнять скриншоты, выполнять команды оболочки, копировать файлы, удалять файлы/папки, загружать файлы из целевого объекта, кодировать локальные файлы и декодировать их, включать/отключать замораживание клавиатуры, вводить логин/пароли в Google Chrome, записывать получать информацию о ПК, открывать прокси-сервер, перезагружать/выключать машину, запускать файл, планировать выполнение команды в определенное время, отображать службы и процессы и обновлять исполняемый файл.

«TelegramRAT демонстрирует еще один удачный пример того, что облако можно использовать для уклонения от многих традиционных сканеров безопасности. Создавая само облако, TelegramRAT использует одно облачное приложение для своего узла полезной нагрузки, а другое - для своей операции C & C. Это сращивание облачных приложений обеспечивает устойчивость к атаке и требует, чтобы сканеры безопасности могли различать экземпляры облачных приложений и проверять эффективность трафика SSL», - заявляет Netskope.

Бесплатная консультация специалиста

Loading…
 

Темы и проблемы


Микроформаты и микроданные | Типографика в онлайн-текстах | Как добиться хорошего индексирования? | Интерактивная поисковая выдача | Использование виджетов на сайте | | | Блог геймера | Яндекс Метрика и Google Analytics: настройка целей | Контекстная реклама: как составить эффективное объявление | Особенности контекстной рекламы для интернет-магазинов | Технологии реферального маркетинга: от простых к высокодоходным | Статейное продвижение сайта | Тизерная реклама: принципы работы, фишки, эффективность | SEO-продвижение сообществ ВКонтакте | Контентный маркетинг | Технология RTB | Что такое сквозные ссылки |   | Горячая линия бесплатной юридической консультации | Белый каталог | Благотворительность

На главную | Cookie policy | Webmaster | Sitemap

 ©  2004