Экспертам удалось взломать код трояна Mad Max
Главная » Новости

Экспертам удалось взломать код трояна Mad Max

Олег Иванов 27 Июля 2016 - 11:12
...
Экспертам удалось взломать код трояна Mad Max

Исследователям из Arbor Networks удалось взломать сложный обфусцированный алгоритм генерации доменных имен (DGA), принадлежащий Mad Max, трояну, который создал ботнет из зараженных компьютеров, находящихся в 16 разных странах.

Экспертам удалось найти все домены, с которыми вредоносная программа связывалась начиная с 2015 года. Анализ трояна раскрыл некоторые его особенности и характеристики, но исследователи Arbor планируют отложить публикацию этих данных на более поздний срок. 

Вредонос Mad Max на Virus Total имеет только эвристические детекты. При попадании в систему, он внедряет несколько DLL-файлов, которые затем выполняются с помощью rundll32.exe. Код троянца в основном состоит из фиктивных инструкций, таким образом, он пытается использовать метод обфускации кода.

Исследователи говорят, что этот метод достаточно эффективен и ставит сложную задачу, как для дизассемблеров, так и для человека, сталкивающегося с кучей фальшивого кода при обратной разработке. По словам Джэффа Эдвардса (Jeff Edwards), эксперта Arbor, этот метод обфускации становится все более популярным среди киберпреступников.

Однако исследователям удалось создать деобфускатор, способный выявить в коде настоящие команды среди фиктивных. После того, как поддельные команды в коде были удалены, исследователи обнаружили, что троян действительно использовал DGA.

Каждую неделю вредонос меняет домен, к которому он подключается, при этом используя для генерации доменного имени шаблон, зависящий от текущей недели месяца. В частности, он будет генерировать домен .com для первой недели месяца, затем перейдет к .org, далее к .info и в конце месяца будет использовать .net, говорят исследователи.

Также экспертам удалось обнаружить, что троянец уже успел заразить компьютеры в шестнадцати странах мира, среди которых Бразилия, Канада, Китай, Финляндия, Франция, Германия, Индия, Италия, Япония, Южная Корея, Норвегия, Тайвань, Таиланд, Украина, Соединенное Королевство, Соединенные Штаты Америки.

Исследователям из Arbor Networks удалось получить полный список доменов, к которым подключался или будет подключаться троян Mad Max. В скором времени они планируют опубликовать остальную информацию, касающуюся трояна.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

ФСТЭК России продлил сертификат для МойОфис Защищенное облако
Яков Шпунт 12 Февраля 2025 - 22:54
Соответствие законодательству РФ Корпорации Соответствие требованиям регуляторов
ФСТЭК России продлил сертификат для МойОфис Защищенное облако

Федеральная служба по техническому и экспортному контролю (ФСТЭК России) продлила сертификат соответствия №4119 для решения «МойОфис Защищенное Облако» до 14 апреля 2029 года. Согласно данному документу, продукт соответствует четвёртому уровню доверия.

Сертифицированная версия «МойОфис Защищенное Облако» может использоваться:

  • На значимых объектах критической информационной инфраструктуры (КИИ);
  • Для обработки конфиденциальной информации и персональных данных любых категорий в информационных системах.

Использование сертифицированного решения позволяет компаниям соблюдать законодательные требования в области защиты данных и сведений ограниченного доступа, что снижает юридические риски и облегчает процесс аттестации инфраструктуры у регуляторов.

В обновлённых версиях «МойОфис Защищенное Облако» реализован ряд новых функций, направленных на повышение безопасности:

  • Двухфакторная аутентификация — значительно снижает риск компрометации учётных данных, даже если злоумышленники получили доступ к паролю.
  • Автоматическое завершение неактивных сессий — предотвращает несанкционированный доступ к открытым документам.
  • Отслеживание изменений в файлах — позволяет пользователям видеть, какие правки были внесены в ходе работы.
  • Расширенный поиск сотрудников — упрощает навигацию и взаимодействие внутри системы.

Сергей Тридневко, директор по безопасности «МойОфис», отметил:

«Регулярное прохождение сертификационных испытаний — важный этап в развитии продукта, предназначенного для организаций с высокими требованиями к защите данных. Наши пользователи могут быть уверены, что технологии, заложенные в “МойОфис Защищенное Облако”, соответствуют современным стандартам безопасности и эффективно противостоят киберугрозам».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
МВД России назвало два основных сценария атак на Госуслуги
Новость
МВД России назвало два основных сценария атак на Госуслуги
В новой версии Kaspersky Anti Targeted Attack добавили модуль NDR
Новость
В новой версии Kaspersky Anti Targeted Attack добавили модул...
Security Vision получила новый сертификат ОАЦ при Президенте Белоруссии
Новость
Security Vision получила новый сертификат ОАЦ при Президенте...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.