Thứ Tư, 28 tháng 11, 2012

Phần mềm độc hại Narilam sửa cơ sở dữ liệu - một công cụ phá hoại các tập đoàn


Database-Modifying Malware Narilam a Corporate Sabotage Tool
Nov 26, 2012 9:58 AM EST, By Fahmida Y. Rashid
Bài được đưa lên Internet ngày: 26/11/2012
Narilam
Lời người dịch: Trích đoạn: “Narilam rất giống các sâu mạng khác, khi nó sao chép được bản thân vào các máy bị lây nhiễm, bổ sung thêm các khóa đăng ký, và nhân giống bản thân mình qua các ổ tháo lắp được và các chia sẻ mạng... Một khi các cơ sở dữ liệu bị nhắm đính được tìm ra, Narilam tìm kiếm các đối tượng và các bảng đặc thù và hoặc là xóa các bảng hoặc thay thế các khoản bằng các giá trị ngẫu nhiên. Phần mềm độc hại này “dường như được lập trình đặc biệt để gây hại cho các dữ liệu nằm bên trong cơ sở dữ liệu bị nhắm đích”... các tác giả của phần mềm độc hại đó luôn có thể sửa đổi các ví dụ đang tồn tại để tấn công các mục tiêu mới. Trong thực tế, Kaspersky Lab đã phát hiện vài biến thể khác với cùng chức năng và phương pháp nhân bản. Các tập đoàn càn chắc chắn họ duy trì các bản sao thường xuyên của các cơ sở dữ liệu và các hệ thống sống còn khác để tự bảo vệ họ khỏi dạng các tấn công này”. Xem thêm: Symantec cảnh báo phần mềm độc hại nhằm vào các cơ sở dữ liệu SQL.
Các nhà nghiên cứu đã phát hiện ra một phần mềm độc hại mới sửa đổi các cơ sở dữ liệu của các tập đòng nhằm vào các hệ thống ở Trung Đôgn, nhưng ví dụ dường như là một dạng phá hoại các tập đoàn hơn là một vũ khí không gian mạng ở phạm vi của Stuxnet.
Phần mềm độc hại này, được phát hiện vào ngày 15/11 và được Symantec đặt tên là W32.Narilam, dường như nhằm vào và sửa đổi các cơ sở dữ liệu của các tập đoàn tại Trung Đông, Shunichi Imano, một nhà nghiên cứu về an ninh của Symantecs, đã viết trên blog Symantec Connect. Nhìn thoáng qua, Narilam rất giống các sâu mạng khác, khi nó sao chép được bản thân vào các máy bị lây nhiễm, bổ sung thêm các khóa đăng ký, và nhân giống bản thân mình qua các ổ tháo lắp được và các chia sẻ mạng.
Narilam là “không bình thường” vì nó có thể cập nhất cơ sở dữ liệu Microsoft SQL qua giao thức Liên kết Đối tượng và Cơ sở dữ liệu Nhúng - OLEDB (Object Linking and Embedding Database), Imano nói. Sâu này đặc biệt nhằm vào các cơ sở dữ liệu SQL với 3 tiên phân biệt, alim, maliran và shahd. Một khi các cơ sở dữ liệu bị nhắm đính được tìm ra, Narilam tìm kiếm các đối tượng và các bảng đặc thù và hoặc là xóa các bảng hoặc thay thế các khoản bằng các giá trị ngẫu nhiên, Imano nói.
Phần mềm độc hại này “dường như được lập trình đặc biệt để gây hại cho các dữ liệu nằm bên trong cơ sở dữ liệu bị nhắm đích”, Imano viết.
Researchers have uncovered a new malware that modified corporate databases targeting Middle East systems, but the sample appears to be a form of corporate sabotage rather than a cyber-weapon on the scale of Stuxnet.
The malware, discovered Nov. 15 and dubbed W32.Narilam by Symantec, appears to be targeting and modifying corporate databases in the Middle East, Shunichi Imano, a Symantec security researcher, wrote on the Symantec Connect blog. At first glance, Narilam is very similar to other network worms, as it copies itself onto infected machines, adds registry keys, and propagates itself through removable drives and network shares.
Narilam is "unusual" because it can update Microsoft SQL databases over the Object Linking and Embedding Database (OLEDB) protocol, Imano said. The worm specifically targets SQL databases with three distinct names, alim, maliran, and shahd. Once the targeted databases are found, Narilam looks for specific objects and tables and either deletes the tables or replaces items with random values, Imano said.
The malware "appears to be programmed specifically to damage the data held within the targeted database," Imano wrote
How Big a Threat Is It?
Mối đe dọa lớn cỡ nào?
Đống các lây nhiễm tới nay đã được tìm thấy tại Trung Đông, đặc biệt tại Iran và Afghanistan, dù các lây nhiễm đã được báo cáo có cả tại Mỹ và Anh. Phần mềm độc hại này từng được tạo ra trong các năm 2009-2010, theo Đội Phân tích và Nghiên cứu Toàn cầu của Kaspersky Lab. Trong khi “khoảng 80 vụ” đã được ghi nhận trong vòng 2 năm qua, thì thực tế là chỉ 6 vụ lây nhiễm đã được báo cáo trong tháng trước, gợi ý phần mềm độc hại “có lẽ hầu như tuyệt chủng”, các nhà nghiên cứu đã viết trên SecureList.
Gauss và Flame cũng từng được phát hiện đầu năm nay nhằm vào các hệ thống tại Trung Đông. Tuy nhiên, Narilam dường như không có bất kỳ khả năng ăn cắp thông tin nào. Kaspersky Lab đã không thấy bất kỳ “sự liên kết rõ ràng nào” giữa Narilam và Duqu, Stuxnet, Flame và Gauss. Narilam đã được phát triển bằng việc sử dụng Boralnd C++ Builder 6, trong khi những con khác đã sử dụng các phiên bản khác nhau của Microsoft Visual C, theo tin trên blog.
Đội Ứng cứu Khẩn cấp Máy tính của Iran (Iran CERT) cũng đã cảnh báo đối với việc so sánh Narilam với Stuxnet, Duqu và Flame trong một tuyên bố, nói Narilam từng không phải là “một mối đe dọa lớn, cũng không là một mẩu phức tạp của phần mềm độc hại máy tính”. Nó từng trước đó được tìm thấy trong năm 2010, và dường như có khả năng làm hỏng chỉ cơ sở dữ liệu được đưa vào trong một phần mềm kế toán doanh nghiệp nhỏ được một công ty không tên tuổi của Iran phát triển, CERT nói.
“Bản chất tự nhiên đơn giản của phần mềm độc hại trông rất giống một sự thử gây hại cho uy tín của công ty phần mềm trong các khách hàng của họ”, Iran CERT nói.
Narilam không là “mối đe dọa cho những người sử dụng thông thường”, theo tuyên bố của CERT, nhưng các khách hàng của gói phần mềm đặc biệt đó nên có các bản sao lưu cơ sở dữ liệu của họ và quét các hệ thống của họ với các sản phẩm chống virus được cập nhật.
The bulk of the infections thus far have been found in the Middle East, particularly Iran and Afghanistan, although infections have been reported in the United States and the United Kingdom. The malware appeared to have been created between 2009 and 2010, according to Kaspersky Lab's Global Research and Analysis Team. While "about 80 incidents" have been recorded over the past two years, the fact that just six infections were reported in the past month suggests the malware is "probably almost extinct," the researchers wrote on SecureList.
Gauss and Flame also were discovered earlier this year targeting systems in the Middle East. However, Narilam does not appear to have any information-stealing capabilities. Kaspersky Lab did not find any "obvious connection" between Narilam and Duqu, Stuxnet, Flame, and Gauss. Narilam was developed using Borland C++ Builder 6, while the others used various versions of Microsoft Visual C, according to the post.
Iran's Computer Emergency Response Team also warned against comparing Narilam with Stuxnet, Duqu, and Flame in a statement, claiming Narilam was not "a major threat, nor a sophisticated piece of computer malware." It was previously detected in 2010, and appears able to corrupt only the database included in a small business accounting software developed by an unnamed Iranian company, CERT said.
"The simple nature of the malware looks more like a try to harm the software company reputation among their customers," Iran-CERT said.
Narilam is "not a threat for general users," according to the CERT statement, but customers of that particular software package should make backups of their database and scan their systems with updated antivirus products.
Corporate Sabotage Tool
Công cụ phá hoại các tập đoàn
Kaspersky Lab đã phát hiện một cảnh báo từ một công ty Iran tên là "TarrahSystem" kêu Narilam từng nhằm vào phần mềm của họ. Dường như là Maliran (Các ứng dụng Tài chính và Công nghiệp được tích hợp), Amin (phần mềm ngân hàng và vay nợ), và Shahd (phần mềm thương mại/tài chính tích hợp) tất cả là các sản phẩm của TarrahSystem.
Trong các cơ sở dữ liệu được nhắm đích, Narilam tìm các bảng và các đối tưowngj với các tên có liên quan tới tài chính như BankCheck, A_Sellers, và buyername. Các từ của Vịnh Persian như Pasandaz, (tiết kiệm), Hesabjari (tài khoản hiện hành) R_DetailFactoreForosh (forosh means sale), End_Hesab (hesab means account) và Vamghest (trả vay nợ) cũng nằm trong danh sách các khoản mục mà Narilam biết được.
Phần mềm độc hại đã sửa các đối tượng sau: Asnad.SanadNo (sanad có nghĩa là tài liệu), Asnad.LastNo, Asnad.FirstNo, và Pasandaz.Code, refcheck.amount, và buyername.Buyername. Narilam cũng xóa các bảng sau: A_Sellers, person, và Kalamast.
“Trừ phi có các bản sao lưu phù hợp, còn thì cơ sở dữ liệu bị lây nhiễm sẽ khó mà phục hồi được”, Imano của Symantec đã cảnh báo.
Thậm chí nếu ví dụ về phần mềm độc hại đặc biệt này không là mối đe dọa chính, thì thực tế vẫn là các tác giả của phần mềm độc hại đó luôn có thể sửa đổi các ví dụ đang tồn tại để tấn công các mục tiêu mới. Trong thực tế, Kaspersky Lab đã phát hiện vài biến thể khác với cùng chức năng và phương pháp nhân bản. Các tập đoàn càn chắc chắn họ duy trì các bản sao thường xuyên của các cơ sở dữ liệu và các hệ thống sống còn khác để tự bảo vệ họ khỏi dạng các tấn công này.
Kaspersky Lab uncovered an alert from an Iranian company named "TarrahSystem" claiming Narilam was targeting their software. It appears Maliran (Integrated Financial and Industrial Applications), Amin (Banking and Loans Software), and Shahd (Integrated Financial/Commercial Software) are all TarrahSystem products.
Within the targeted databases, Narilam looks for tables and objects with financial-related names such as BankCheck, A_Sellers, and buyername. Persian words such as Pasandaz, (savings), Hesabjari (current account) R_DetailFactoreForosh (forosh means sale), End_Hesab (hesab means account) and Vamghest (installment loans) are also on the list of terms Narilam recognizes.
The malware modified the following objects: Asnad.SanadNo (sanad means document), Asnad.LastNo, Asnad.FirstNo, and Pasandaz.Code, refcheck.amount, and buyername.Buyername. Narilam also deletes the following tables: A_Sellers, person, and Kalamast.
"Unless appropriate backups are in place, the affected database will be difficult to restore," Symantec's Imano warned.
Even if this particular malware sample winds up not being a major threat, the fact remains that malware authors can always modify existing samples to attack new targets. In fact, Kaspersky Lab uncovered several other variants with the same functionality and method of replication. Corporations need to make sure they maintain regular backups of databases and other critical systems in order to protect themselves from these kind of attacks.
Dịch: Lê Trung Nghĩa

Không có nhận xét nào:

Đăng nhận xét

Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.