[You must be registered and logged in to see this image.]Това е технологията Pandemic, използвана за заразяване на корпоративни мрежи чрез файловите сървъри.
След двуседмично мълчание порталът WikiLeaks публикува поредния хакерски софтуер от арсенала на ЦРУ. Pandemic е предназначена за получаването на достъп до компютри със споделени папки, от които потребителите теглят файлове с помощта на SMB протокола. На практика всички експерти отбелязват твърде необичайния и оригинален принцип на работа, който въобще не е характерен за компютърните вируси.
Оказа се, че
Pandemic се инсталира на атакуваната система като „филтър-драйвер на файловата система“. Той следи SMB трафика и регистрира опитите на потребителите да изтеглят споделените файлове от заразения компютър. Pandemic прихваща запитванията за изтегляне и вместо оригиналните файлове, изпраща на потребителите заразени.
Според публикуваните инструкции, Pandemic може да замени до 20 файла наведнъж (32 и 64 -битови) с максимален обем на единия файл 800 MB. Инсталирането на Pandemic става само за 15 секунди. Технологията е специално създадена за замяна на изпълнимите файлове и по-специално, изпълнимите файлове в споделените папки. Когато изпълнимият файл се изтегля от заразения компютър, част от неговия код се заменя с троянец, чрез който се поема контрола върху този компютър. За да се прикрие това действие, оригиналният файл на сървъра остава неизменен, а при заявка за изтегляне, веднага се прави модифицирано заразено копие, което се изпраща на заявилият изтеглянето.
По този начин се заразява цяла корпоративна мрежа, а откриването на Pandemic е твърде трудно, понеже при подозрение за заразяване системните администратори трябва да изтеглят и сканират файловете, намиращи се в свързаните към локалната мрежа компютри.
Този път WikiLeaks реши да не публикува специализирания софтуер. Това може да стане след постигането на обществен консенсус относно неговия анализ и обезвреждане.
/kaldata.com