Jump to content

From Georgia With Love: Win32/Georbot information stealing trojan and botnet

MaRgE

Recommended Posts

MaRgE Newbie

MaRgE

Posted
Posted

http://www.eset.com/about/blog/blog/article/win32georbot-information-stealing-trojan-botnet-from-georgia-with-love/

Malicious software that gets updates from a domain belonging to the Eurasian state of Georgia? This unusual behavior caught the attention of an analyst in ESET's virus laboratory earlier this year, leading to further analysis which revealed an information stealing trojan being used to target Georgian nationals in particular. After further investigation, ESET researchers were able to gain access to the control panel of the botnet created with this malware, revealing the extent and the intent of this operation.

Finding a new botnet is not unusual these days and most are not particularly interesting from a nerdy, techie point of view, but it turns out that this one (dubbed Win32/Georbot) is both unusual and interesting. Amongst other activities, it will try to steal documents and certificates, can create audio and video recordings and browse the local network for information. One unusual aspect is that it will also look for “Remote Desktop Configuration Files” that enables the people receiving these files to connect to the remote machines without using any exploit. That approach will even bypass the need for RDP exploits such as the one that was revealed last week (MS12-20).

Win32/Georbot features an update mechanism to get new versions of the bot as an attempt to remain undetected by anti-malware scanners. The bot also has a fall-back mechanism in case it can’t reach the C&C (Command and Control) server: in that case it will then connect to a special webpage that was placed on a system hosted by the Georgian government. This does not automatically mean that the Georgian government is involved. Quite often people are not aware their systems are compromised. It should be also noted that the Data Exchange Agency of the Ministry of Justice of Georgia and its national CERT were fully aware of the situation as early as 2011 and, parallel to their own – still ongoing – monitoring, have cooperated with ESET on this matter.

ESET’s researchers were also able to get access to the bot’s control panel which displayed clear details about the number of affected machines, where they are, possible commands, and so on. The most interesting information found on the control panel was a list with all the keywords that were searched for in documents on infected systems (including a lot of three letter agencies like KGB, FSB and CIA).

Win32/Georbot uses various obfuscation techniques to make static analysis more difficult, but for experienced malware analysts that is not much of a problem to overcome, and Win32/Georbot was well worth the time it took to undertake a detailed analysis. The full white paper containing the detailed analysis can be found here…

რას იტყვით ?

anzori88 Newbie

anzori88

Posted
Posted

რაზე? ვერაფერი ვერ მივხვდი :(

გათი Newbie

გათი

Posted
Posted

არ ვიცოდი ამ დონის მალვეარს თუ საქართველოში შევხვდებოდით :)

T a S o T T i Newbie

T a S o T T i

Posted
Posted

რა წერია შინაარსი მითხარით :D

MaKaRoV Newbie

MaKaRoV

Posted
Posted

რა წერია შინაარსი მითხარით :D

ქარტული ტროჯანია რაღაცა რასაც სახელმწიფო ავრცელებსო. :dabolili: ტროჯანით მემგონი აკონტროლებენ თუ რავი. ინფორმაციას იღებენ. :programisti:

Shopen Newbie

Shopen

Posted
Posted

ქართველების დაწერილი ტროიანი არის?

ყოჩაღ ქართველებს

მუქარის პროგრამული უზრუნველყოფა, რომელიც იღებს განახლებები დომენის კუთვნილი ევრაზიის საკითხებში საქართველოს სახელმწიფოს? ეს უჩვეულო ქცევა დაიჭირეს ყურადღება ანალიტიკოსი ESET-ის ვირუსის ლაბორატორიული ამ წლის დასაწყისში, რასაც შემდგომი ანალიზისთვის, რომელმაც გამოავლინა ინფორმაცია ქურდობაში trojan გამოიყენება სამიზნე საქართველოს მოქალაქეებს, კერძოდ. მას შემდეგ, რაც შემდგომ გამოძიებას, ESET მკვლევარებმა შეძლეს მასში შესვლის უფლების მოსაპოვებლად საკონტროლო პანელის botnet შექმნილი ეს malware, გამოვლენის მოცულობისა და განზრახვა ამ ოპერაციის. მოძიება ახალი botnet არ არის უჩვეულო ამ დღეებში და ყველაზე არ არიან განსაკუთრებით საინტერესო nerdy, techie თვალსაზრისით, მაგრამ აღმოჩნდება, რომ ამ ერთი (გახმოვანებული Win32/Georbot) არის არაჩვეულებრივი და საინტერესოა. მათ შორის სხვა საქმიანობას, იგი შეეცდება მოიპაროს დოკუმენტები და სერთიფიკატები, შეგიძლიათ შექმნათ აუდიო და ვიდეო ჩანაწერები და დაათვალიეროთ ადგილობრივი ქსელის ინფორმაციას. ერთი არაჩვეულებრივი ასპექტი არის ის, რომ ასევე ვეძებთ "მოშორებული კომპიუტერის კონფიგურაციის ფაილები", რომელიც საშუალებას ხალხის მიღების ეს ფაილი დაკავშირება დისტანციური მანქანების გამოყენების გარეშე ნებისმიერი გამოყენება. ეს მიდგომა კი გვერდის ავლით საჭიროება RDP ექსპლოიტეტების როგორიცაა ის, რომელიც გამოავლინა გასულ კვირას (MS12-20). Win32/Georbot აღჭურვილია განახლების მექანიზმი ახალი ვარიანტი Bot მცდელობად დარჩება undetected მიერ საწინააღმდეგო malware სკანერები. Bot აქვს შემოდგომაზე-უკან მექანიზმი იმ შემთხვევაში, თუ მას არ შეუძლია მიაღწიოს C & C (მართვისა და კონტროლის) სერვერი: იმ შემთხვევაში, თუ ეს იქნება მაშინ დაკავშირება სპეციალური ვებგვერდზე, რომელიც განთავსებულია სისტემაში გაიმართა საქართველოს მთავრობის მიერ. ეს ავტომატურად არ ნიშნავს იმას, რომ საქართველოს მთავრობა არის ჩართული. ხშირად ადამიანებს არ იცის მათი სისტემები იკარგება. აქვე უნდა აღინიშნოს, რომ მონაცემთა გაცვლის სააგენტო საქართველოს იუსტიციის სამინისტროს საქართველოს და მისი ეროვნული CERT იყო სრულად აცნობიერებს სიტუაცია ჯერ კიდევ 2011 და პარალელურად საკუთარი - ჯერ არ დასრულებულა - მონიტორინგი, არ თანამშრომლობდა ESET ამ საკითხზე . ESET-ის მკვლევარებმა ასევე შეუძლია მიიღოს წვდომა Bot კონტროლის პანელი, რომელიც ნაჩვენები წმინდა დეტალები რაოდენობის შესახებ დაზარალებული მანქანები, სადაც, შესაძლებელია, ბრძანებები, და ასე შემდეგ. ყველაზე საინტერესო ინფორმაცია ნაპოვნი პანელი იყო სიაში ყველა სიტყვები ჩხრეკა ამ დოკუმენტების ინფიცირებული სისტემები (მათ შორის ბევრი სამი წერილი სააგენტოები, ისევე როგორც KGB, FSB და CIA). Win32/Georbot იყენებს სხვადასხვა obfuscation ტექნიკა, რათა სტატიკური ანალიზი უფრო რთული, მაგრამ გამოცდილ malware ანალიტიკოსები, რომ არ არის დიდი პრობლემა დასაძლევად და Win32/Georbot კარგად ღირს დრო დასჭირდა მიიღონ დეტალური ანალიზი. სრული თეთრი ქაღალდი, რომელიც შეიცავს დეტალურ ანალიზს შეგიძლიათ იხილოთ აქ .. (BY google translate

Gadget Newbie

Gadget

Posted
Posted

ქართველების დაწერილი ტროიანი არის?

ყოჩაღ ქართველებს

მუქარის პროგრამული უზრუნველყოფა, რომელიც იღებს განახლებები დომენის კუთვნილი ევრაზიის საკითხებში საქართველოს სახელმწიფოს? ეს უჩვეულო ქცევა დაიჭირეს ყურადღება ანალიტიკოსი ESET-ის ვირუსის ლაბორატორიული ამ წლის დასაწყისში, რასაც შემდგომი ანალიზისთვის, რომელმაც გამოავლინა ინფორმაცია ქურდობაში trojan გამოიყენება სამიზნე საქართველოს მოქალაქეებს, კერძოდ. მას შემდეგ, რაც შემდგომ გამოძიებას, ESET მკვლევარებმა შეძლეს მასში შესვლის უფლების მოსაპოვებლად საკონტროლო პანელის botnet შექმნილი ეს malware, გამოვლენის მოცულობისა და განზრახვა ამ ოპერაციის. მოძიება ახალი botnet არ არის უჩვეულო ამ დღეებში და ყველაზე არ არიან განსაკუთრებით საინტერესო nerdy, techie თვალსაზრისით, მაგრამ აღმოჩნდება, რომ ამ ერთი (გახმოვანებული Win32/Georbot) არის არაჩვეულებრივი და საინტერესოა. მათ შორის სხვა საქმიანობას, იგი შეეცდება მოიპაროს დოკუმენტები და სერთიფიკატები, შეგიძლიათ შექმნათ აუდიო და ვიდეო ჩანაწერები და დაათვალიეროთ ადგილობრივი ქსელის ინფორმაციას. ერთი არაჩვეულებრივი ასპექტი არის ის, რომ ასევე ვეძებთ "მოშორებული კომპიუტერის კონფიგურაციის ფაილები", რომელიც საშუალებას ხალხის მიღების ეს ფაილი დაკავშირება დისტანციური მანქანების გამოყენების გარეშე ნებისმიერი გამოყენება. ეს მიდგომა კი გვერდის ავლით საჭიროება RDP ექსპლოიტეტების როგორიცაა ის, რომელიც გამოავლინა გასულ კვირას (MS12-20). Win32/Georbot აღჭურვილია განახლების მექანიზმი ახალი ვარიანტი Bot მცდელობად დარჩება undetected მიერ საწინააღმდეგო malware სკანერები. Bot აქვს შემოდგომაზე-უკან მექანიზმი იმ შემთხვევაში, თუ მას არ შეუძლია მიაღწიოს C & C (მართვისა და კონტროლის) სერვერი: იმ შემთხვევაში, თუ ეს იქნება მაშინ დაკავშირება სპეციალური ვებგვერდზე, რომელიც განთავსებულია სისტემაში გაიმართა საქართველოს მთავრობის მიერ. ეს ავტომატურად არ ნიშნავს იმას, რომ საქართველოს მთავრობა არის ჩართული. ხშირად ადამიანებს არ იცის მათი სისტემები იკარგება. აქვე უნდა აღინიშნოს, რომ მონაცემთა გაცვლის სააგენტო საქართველოს იუსტიციის სამინისტროს საქართველოს და მისი ეროვნული CERT იყო სრულად აცნობიერებს სიტუაცია ჯერ კიდევ 2011 და პარალელურად საკუთარი - ჯერ არ დასრულებულა - მონიტორინგი, არ თანამშრომლობდა ESET ამ საკითხზე . ESET-ის მკვლევარებმა ასევე შეუძლია მიიღოს წვდომა Bot კონტროლის პანელი, რომელიც ნაჩვენები წმინდა დეტალები რაოდენობის შესახებ დაზარალებული მანქანები, სადაც, შესაძლებელია, ბრძანებები, და ასე შემდეგ. ყველაზე საინტერესო ინფორმაცია ნაპოვნი პანელი იყო სიაში ყველა სიტყვები ჩხრეკა ამ დოკუმენტების ინფიცირებული სისტემები (მათ შორის ბევრი სამი წერილი სააგენტოები, ისევე როგორც KGB, FSB და CIA). Win32/Georbot იყენებს სხვადასხვა obfuscation ტექნიკა, რათა სტატიკური ანალიზი უფრო რთული, მაგრამ გამოცდილ malware ანალიტიკოსები, რომ არ არის დიდი პრობლემა დასაძლევად და Win32/Georbot კარგად ღირს დრო დასჭირდა მიიღონ დეტალური ანალიზი. სრული თეთრი ქაღალდი, რომელიც შეიცავს დეტალურ ანალიზს შეგიძლიათ იხილოთ აქ .. (BY google translate

Lexicon.ge-დან თარგმნე ? 3895.gif

Gadget Newbie

Gadget

Posted
Posted

არა :dabolili: google translate :facepalm::chojinfc: :chojinfc:

ინგლისურად უკეთ გაიგებ კაცი chojinfc.gif

Shopen Newbie

Shopen

Posted
Posted

ინგლისურად უკეთ გაიგებ კაცი chojinfc.gif

გეთანხმები,არ არის სრულყოფილად დახვეწილი

Albert Einstein Newbie

Albert Einstein

Posted
Posted

Win32/Georbot malware ინფიცირებულ სისტემაში ახდენს შემდეგი ინფორმაციის მოპოვებას (ქურდობას):

• მყარ დისკზე არსებული ნებისმიერი ფაილი გააგზავნოს სერვერზე.

• მოიპაროს სერთიფიკატები

• მყარ დისკზე Microsoft Word-ის დოკუმენტების ძებნა

• მყარ დისკზე არსებული მოშორებით მყოფი კომპიუტერის კონფიგურაციული ფაილების ძებნა

• მონიტორის ეკრანზე სურათების გადაღება (screenshots)

• მიკროფონის გამოყენებით აუდიო ჩანაწერის გაკეთება (მხოლოდ იმ შემთხვევაში თუ მიკროფონი შეერთებულია, მნიშვნელობა არა აქვს იმ მომენტში იყენებთ თუ არა)

• ვიდეოთვალის გამოყენებით ვიდეო ჩანაწერის გაკეთება (მხოლოდ იმ შემთხვევაში თუ ვიდეოთვალი შეერთებულია, მნიშვნელობა არა აქვს იმ მომენტში იყენებთ თუ არა)

• ლოკალური ქსელის სკანირება ამავე ქსელის სხვა ჰოსტების დასადგენად

• დაინფიცერებულ სისტემაზე უკანონო ბრძანებების შესრულება

ვისაც უფრო მეტი ინფორმაცია აინტერესებს და დეტალურად ამ ყოველივეს შესახებ, ამ ბმულზე შეგიძლიათ ნახოთ: http://blog.eset.com/wp-content/media_files/ESET_win32georbot_analysis_final.pdf

Archived

This topic is now archived and is closed to further replies.

Go to topic listing
×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.