Специалист из компании FireEye Ричард Уортелл (Richard Wartell) занимается реверс-инжинирингом вредоносных программ, которые используются для целевых атак на клиентов компании. По его словам, качество кода этих программ иногда оставляет желать лучшего, а временами просто смехотворно.

В интервью The Register Уортелл приводит пример недавнего бэкдора, который попал в его руки. Злоумышленники реализовали следующий алгоритм: в конце файла записывался закодированный URL управляющего домена, а для установки связи с ним проводился поиск файла определённого размера на диске. Но авторы программы не учли, что при добавлении URL размер файла меняется. Поэтому связь с управляющим доменом установить никак не получалось, а вся атака теряла смысл.

Группа анализа вредоносных программ в компании FireEye: Мэтью Гребер, Ричард Уортелл и Майкл Сикорски
Группа анализа вредоносных программ в компании FireEye: Мэтью Гребер, Ричард Уортелл и Майкл Сикорски

Другой зловред для целевой атаки — образец чрезмерного программирования. Программа на C++ содержит внутри шелл, и не просто с несколькими командами, а полноценный набор, плюс бонусы вроде ipconfig и netcat, просто на всякий случай.

«В этот бэкдор поместили нелепое количество кода, — комментирует Уортелл. — Количество времени, которое потратили авторы программы, действительно впечатляет, но зачем это было делать? Достаточно было простого шелла на 100 строчек».

Есть проблемы с использованием криптографии, когда авторы вредоносных программ не самым лучшим образом определяют криптографическую схему.

Ричард Уортелл проехался и по зловредам для PoS-терминалов, которые устанавливаются на Windows-компьютеры и внедряют код в сторонние процессы, но при этом очень смешно прячутся в системе. «Во-первых, программа устанавливается как неподписанный драйвер ядра, что выдаёт её с потрохами. Во-вторых, название сервиса составлено из случайных символов — люди потратили сотни часов на создание этой программы, но любой посторонний может сразу её заметить в системе».



4 комментария

  1. 24.10.2014 at 05:36

    Сталина на вас нет!

  2. 24.10.2014 at 08:36

  3. 24.10.2014 at 10:56

    скорее так действуют новички используя какие-нибудь «конструкторы»

  4. 24.10.2014 at 14:03

    Этот мотив звучит уже не одно десятилетие, запевали его Лозинский, Данилов и Касперский, потом подхватил стройный хор на Западе. Где логика: вирмейкеры пишут тупые зловреды, специалисты по безопасности ложат их на лопатки одной левой и получают бабло. Живи и радуйся? Нет. Им ещё и покритиковать хочется. «Не нравится — не лечи» — давным-давно сказано.

Оставить мнение