fonctionnalités disponibles dans la boîte à outils.
Fig 1: SharK2 options de configuration du serveur.
En un mot, le serveur créé en utilisant le kit peut être généralement configuré pour effectuer les opérations suivantes:
- Chargez le Trojan à chaque démarrage en utilisant les touches ActiveX spécifié dans le Registre.
- Social-ingénieur de la victime à croire qu'il a ouvert un véritable exécutable, comme bloc-notes.
- Capacité à se lier avec d'autres fichiers authentique.
- Capable d'agir comme un rétrovirus désactiver les logiciels antivirus. Le kit permet également aux utilisateurs la possibilité de blacklister des outils de sécurité et de paralyser diverses et des analyses sur la machine victime.
- Ont aussi des options de fusion furtif comme le serveur sur l'exécution, la modification des attributs de fichier, de modifier la date de création de fichiers du serveur, ou l'ouverture des ports seulement quand il ya une connexion Internet.
- Chiffre l'en-tête et utilise ses propres stub.
Une des caractéristiques uniques de ce kit est sa capacité à identifier les bacs à sable. Même si les techniques anti-sandbox ont été largement débattue, ce kit serait probablement l'un des rares à mettre en oeuvre cette fonctionnalité. Clubbed ce sont anti-débogage et des techniques de détection VMware qui pourrait rendre le processus d'analyse de ce cheval de Troie un peu difficile.
Fig 2: Component Downloader Web
Une fois infecté, la victime se reconnecter à l'adresse indiquée et le port.
- Comme de nombreux chevaux de Troie, Shark utilise la RC4 un algorithme de chiffrement pour crypter le trafic.
- Keylogger travaille avec WH_KEYBOARD_LL crochets.
- DOS-Shell interactif
- Manipuler les processus en cours, des fenêtres et des services de la console à distance.
- Schéma de la procédure de listes noires, qui avertit l'attaquant sur la liste noire si le processus se trouve sur la machine victime et demande à l'attaquant de prendre des mesures (voir fig 3).
- L'injection de code dans une fenêtre cachée d'Internet Explorer dans une tentative de contourner les pare-feu.
- Utilise Web Downloader pour télécharger et exécuter des fichiers sur la machine victime (voir figure 2).
- L'attaquant pourrait rediriger les victimes à divers sites Web d'hameçonnage.
Fig 3: Liste noire des processus interactifs
Le kit est aussi constamment mis à jour pour introduire de nouvelles fonctionnalités. Avec le code source de fuite alléguée pour la vente dans divers forums, plusieurs versions sont susceptibles de emerge. Ayant un oeil à notre collection d'échantillons était suffisant pour établir que des personnes malveillantes ont déjà commencé à capitaliser sur cette boîte à outils.
Nous chez McAfee Avert Labs sont à l'affût des nouvelles menaces comme toujours, et on détecte le configurateur que BackDoor-DKG.cfg et le serveur est détecté comme BackDoor-DKG avec le DATS actuelle.
Articles
