Современные malware используют стеганографию для сокрытия данных - Proxy-Base Community - Анонимность и безопасность в интернете.
Бесплатные прокси. Количество:
Прокси для пользователей форума (API). Количество:
Купить доступ к прокси-листам (API). Количество:
 



Информация по хайдам / репутации

(РЕКОМЕНДУЮ) №1 >>>DDos Атака<<|>>DDoS Service<<< ДДОС СЕРВИС<<|>>Заказать DDOS
Все инфопродукты и приватная информация бесплатно
Старый 20.11.2015, 23:50   #1 (permalink)
VPN
 
Аватар для Proxy-Base-News
 
Регистрация: 16.09.2015
Сообщений: 2,447
Member ID: 35426

Репутация: 21
Репутация: 21
Сказал(а) спасибо: 0
Поблагодарили 7 раз(а) в 7 сообщениях
Топикстартер (автор темы) По умолчанию Современные malware используют стеганографию для сокрытия данных

В рамках конференции Black Hat Europe ИБ-исследователи Пьер-Марк Бюро (Pierre-Marc Bureau) из Dell SecureWorks и Кристиан Дитрих (Christian Dietrich) рассказали о методах стеганографии, которые используются вирусмейкеры для сокрытия вредоносной деятельности. Эксперты представили несколько образцов вредоносов, поддерживающих стеганографию для сокрытия важных данных.

ИБ-специалисты рассказали, что DDoS-бот, известный как Foreign, получает с C&C-сервера команды в виде стандартных сообщений о HTTP-ошибке (ошибка 404). Foreign мониторит обычную на первый взгляд страницу с целью извлечения закодированной по Base64 команды, скрытой между HTML-тэгами < comment >.

По словам исследователей, в последнее время активными являются такие вредоносы, поддерживающие стеганографию, как Lurk, Gozi Neverquest и Stegoloader. Скрытые вредоносами данные были закодированы в наименее значащем бите в каждом пикселе цифрового изображения.

Lurk впервые был обнаружен в 2014 году ИБ-экспертами из Dell SecureWorks. Этот вредонос и его модификации используются для загрузки дополнительного вредоносного ПО на инфицированный хост. Lurk использует стеганографию для того, чтобы спрятать URL, откуда он загружает контент. Вредонос, в первую очередь загружает BMP-изображение, откуда он затем извлекает скрытый в наименее значащем бите URL.

Gozi Neverquest используется в финансовых вредоносных кампаниях. Вредонос может внедрить код в браузер, который будет отображать пользователям специальный контент и похищать учетные записи. Вредонос загружает файл favicon.ico с сервера, размещенного в TOR, используя специальный сервис tor2web, а затем извлекает URL из наименее значащего бита.

Dell SecureWorks также проанализировала семейство вредоносных программ Stegoloader, доставка которых осуществляется с помощью специального модуля развертывания. После запуска на системе этот инструмент дополнительно загружает основной компонент – PNG-изображение, размещенное на легитимном портале и скрывающее вредоносный код. В настоящее время вредонос распространяется через web-сайты с пиратским ПО, где хакеры публикуют инфицированный генератор лицензионных ключей.
Proxy-Base-News вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Вкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Серверы MySql используют для DDoS-атак Proxy-Base-News Новости IT 0 31.10.2015 00:10
vSkimmer Craked by Xyl2k, POS malware perlis Hack.Stuff 0 13.03.2013 20:29
Спамеры используют брешь в системе McAfee Endpoint Protection Berlin Новости IT 0 18.01.2012 21:51
publichack.org (malware blog) tok Флейм 0 28.07.2011 23:47
Проблема с программами, которые используют Windows Installer haos Флейм 5 17.09.2010 17:19




DDoS Protected




Мы в твиттере, Proxy-Base.Org Twitter

Proxy-Base Community - Анонимность и безопасность в интернете.
Наши партнеры: CRC Labs, SEO-Crack.Com, Garsuk.Com, SED Team, Skladchik.com, BSS Family

Powered by vBulletin® | Булка сделана в пекарне®
Copyright © 2000 - , Jelsoft Enterprises Ltd. Перевод: zCarot
Вся информация на сайте выложена исключительно в ознакомительных целях.