APT-группа Platinum использует Windows HotPatching - Proxy-Base Community - Анонимность и безопасность в интернете.
Бесплатные прокси. Количество:
Прокси для пользователей форума (API). Количество:
Купить доступ к прокси-листам (API). Количество:
 



Информация по хайдам / репутации

(РЕКОМЕНДУЮ) №1 >>>DDos Атака<<|>>DDoS Service<<< ДДОС СЕРВИС<<|>>Заказать DDOS
Все инфопродукты и приватная информация бесплатно
Старый 30.04.2016, 01:40   #1 (permalink)
VPN
 
Аватар для Proxy-Base-News
 
Регистрация: 16.09.2015
Сообщений: 2,324
Member ID: 35426

Репутация: 21
Репутация: 21
Сказал(а) спасибо: 0
Поблагодарили 7 раз(а) в 7 сообщениях
Топикстартер (автор темы) По умолчанию APT-группа Platinum использует Windows HotPatching

Microsoft опубликовала отчет о деятельности Platinum – хорошо упакованной группы хакеров, существующей как минимум с 2009 года и проводящей целевые атаки против правительственных ведомств, оборонных организаций, спецслужб, дипломатов и телеоператоров Южной и Юго-Восточной Азии. APT-группа Platinum примечательна тем, что в качестве инструмента предпочитает использовать легитимную Windows-функцию HotPatching, упраздненную разработчиком с выпуском Windows 8.

Platinum также использует 0day уязвимости в своих атаках, которые достаточно редки. Участники данной группировки не любят привлекать к себе внимание и стараются избегать обнаружения. Большинство мишеней Platinum базируются в Малайзии, Индонезии и Китае.

Использование технологии обновления HotPatching, впервые реализованной Microsoft в Windows Server 2003, позволяет хакерам внедрять вредоносный код в запущенные процессы без перезагрузки системы. HotPatching требует прав администратора, посему атакующий должен вначале обеспечить свое присутствие в системе. Однако для Platinum это, похоже, не проблема: хакеры успешно проникают на целевые машины посредством spear phishing, проводя узконаправленные рассылки вредоносных документов Office. Такие вложения, как правило, содержат эксплойт к незакрытой на тот момент уязвимости и загружают бэкдоры и другие коды, необходимые для развития атаки. К слову, четыре уязвимости 0-day, обнаруженные Microsoft, уже пропатчены.

Хакеры прилежно изучают HotPatching с момента появления этой техники в Windows. ИБ-исследователь Алекс Сотиров предупреждал о рисках, связанных с HotPatching, еще на конференции Black Hat 2006. В 2013 году этот вопрос вновь поднял программист и специалист по ИБ Алекс Ионеску, рассказав, как пишутся вредоносные «горячие патчи».

Platinum такой инструмент помогает обходить системы защиты; срок действия одного из сэмплов, обнаруженных Microsoft, окончится в январе 2017 года. «Похоже на то, что этот компонент использует функцию HotPatching как средство против детектирования, так как многие антивирусные решения мониторят несистемные процессы на предмет стандартных методов инъекции, таких как CreateRemoteThread, – пишут авторы отчета Microsoft. – Если этому инструменту не удается внедрить код с помощью HotPatching, он пытается применить другие, более распространенные способы внедрения кода в типовые процессы Windows и в первую очередь атакует winlogon.exe, lsass.exe и svchost.exe».

Platinum имеет в своем распоряжении ряд бэкдоров и кастомных вредоносных компонентов. Участники APT-группы также стараются тщательно заметать следы, в частности, используют самоудаляющиеся модули, следят за тем, чтобы вредоносный код исполнялся на зараженной машине лишь один раз, и жестко ограничивают количество сэмплов в дикой природе.
Proxy-Base-News вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Вкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Троян Vonteera использует сертификаты для отключения антивирусов Proxy-Base-News Новости IT 0 25.11.2015 14:00
Локер LowLevel04 использует необычный способ подключения Proxy-Base-News Новости IT 0 27.10.2015 00:30
ВКонтакте (Platinum) - Виталий Ичин. bgakeshali Мануалы 19 08.05.2013 18:36
Sony Vegas 11 HD Platinum HELMOS Флейм 2 25.04.2012 09:37
platinum hide ip maggot85 Флейм 2 03.01.2012 14:21




DDoS Protected




Мы в твиттере, Proxy-Base.Org Twitter

Proxy-Base Community - Анонимность и безопасность в интернете.
Наши партнеры: CRC Labs, SEO-Crack.Com, Garsuk.Com, SED Team, Skladchik.com, BSS Family

Powered by vBulletin® | Булка сделана в пекарне®
Copyright © 2000 - , Jelsoft Enterprises Ltd. Перевод: zCarot
Вся информация на сайте выложена исключительно в ознакомительных целях.