Kaspersky
seeking help to crack the Gauss trojan
14 August 2012, 17:52
Bài được đưa lên
Internet ngày: 14/08/2012
Lời
người dịch: Đến Kaspersky Lab nổi tiếng thế giới về
an ninh cũng bó giáo tạm xin hàng với việc giải
mã module chính “Godel” của trojan Gauss dành riêng cho hệ
điều hành Windows và chuyên chọc vào các ngân hàng
trực tuyến, và đang tìm kiếm các chuyên gia trong cộng
đồng an ninh và mật mã trên thế giới trợ giúp. Vậy
mà ai cũng cứ tưởng là phần mềm sở hữu độc quyền
thì hỗ trợ là tuyệt đỉnh. Thật đáng ngờ!!!. Xem thêm
[01],
[02].
Các nhà nghiên cứu
tại Kaspersky Lab đang tìm kiếm trong cộng đồng mật mã
sự trợ giúp trong việc giải mã trojan Gauss. Bất chấp
những nỗ lực tốt nhất của họ, các nhà nghiên cứu
cho tới nay đã không có khả năng để phá một tải được
mã hóa trong module “Godel” của trojan này; họ hy vọng
rằng các thành viên của các cộng đồng toán học và
mật mã sẽ có khả năng để bóc tách được tải ẩn
này.
Trojan Gauss lan truyền
thông qua các đầu USB và lây nhiễm cho hệ thống bằng
việc sử dụng khai thác nổi tiếng LNK. Các ổ bị lây
nhiễm bao gồm 2 tệp - “System32.dat” và “System32.bin”
- mà là các phiên bản 32 và 64 bit của cùng mã nguồn bao
gồm vài phần được mã hóa. Một khi được chạy,
trojan trước hết thu thập thông tin về hệ thống của
nạn nhân bao gồm các tiến trình đang chạy, các ổ đĩa
và các chia sẻ mạng, và lưu chúng tới tệp khác trên ổ
có tên là “.thumbs.db”, sau đó các module khác sẽ được
khởi động.
Theo Kaspersky, phần
mềm độc hại này sau đó cố giải mã module khác bằng
việc sử dụng vài chuỗi từ hệ thống. Tải này có ý
định chạy trong một hệ thống đặc thù; nó sẽ chỉ
được thực thi nếu các chuỗi được tìm thấy. Các nhà
nghiên cứu tại Kaspersky chỉ có thể đoán đối với
những gì module này làm cho tới khi họ có thể phá được
nó: “Chúng tôi đã cố gắn hàng triệu tổ hợp của
các tên được biết trong đường dẫn %PROGRAMFILES%, mà
không thành công”. Đội này nói rằng trojan dường như
tìm kiếm một ứng dụng rất đặc biệt được thiết
lập như Arabic hoặc Hebrew.
Phần tài nguyên của
tải là, các nhà nghiên cứu nói, đủ lớn “để chứa
một mã của cuộc tấn công nhằm đích giống như
Stuxnet”. Họ cũng đi tới lưu ý rằng tất cả những sự
đề phòng về an inh được các tác giả của trojan tiến
hành dường như chỉ rằng trojan đứng đằng sau một
đích cao cấp.
Những người có quan
tâm trong việc giúp pháp tải của trojan có thể thấy
thông tin xa hơn, bao gồm ví dụ và các dữ liệu nguồn,
trong một bài viết trên blog Securelist của Kaspersky.
Xem thêm:
- Phông được cài đặt với trojan Gauss làm nảy sinh các câu hỏi, một báo cáo của The H.
Security
researchers at Kaspersky Lab are looking
to the cryptography community for help in deciphering the Gauss
trojan. Despite their best efforts, the researchers have so far
been unable to crack an encrypted payload in the trojan's "Godel"
module; they hope that members of the cryptology and mathematics
communities will be able to extract the hidden payload.
The
Gauss trojan spreads via USB drives and infects systems using the
well-known
LNK exploit. These infected drives include two files –
"System32.dat" and "System32.bin" – which are
32- and 64-bit versions of the same code which includes several
encrypted sections. Once executed, the trojan first gathers
information about the victim's system including running processes,
drives and network shares, and save them to another file on the drive
named ".thumbs.db", after which other modules are launched.
According
to Kaspersky, the malware then tries to decrypt another module using
several strings from the system. This payload is intended to run on a
specific system; it will only be executed if the strings are found.
The researchers at Kaspersky can only speculate as to what this
module does until they can crack it: "We have tried millions of
combinations of known names in %PROGRAMFILES% and Path, without
success." The team say that the trojan appears to be looking for
a very specific application that has a name that starts with a
special symbol like "~" or is written in an extended
character set such as Arabic
or Hebrew.
The
resource section of the payload is, the researchers say, large enough
"to contain a Stuxnet-like SCADA targeted attack code".
They also go on to note that all of the security precautions taken by
the authors of the trojan seem to indicate that the trojan is after a
high-profile target.
Those
interested in helping to crack the trojan's payload can find further
information, including sample and source data, in a post
on Kaspersky's Securelist blog.
See
also:
- Font installed with Gauss trojan raises questions, a report from The H.
(crve)
Dịch: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.