Najpopularniejsze
    Czy jest sposób na wyzerowanie Windowsa

    Jak sformatować/przywrócić Windows 10?

    Nowy konkurs AVG - weź udział teraz

    Wybierz imię dla ludka-ninja! Wiosenny konkurs AVG!

    Nowy konkurs AVG

    Pomóż nam wybrać koszulkę dla Trybu i zgarnij NOWE gadżety AVG!

    Facebook YouTube
    TrybAwaryjny.plTrybAwaryjny.pl
    • Strona główna
    • Tu zacznij
    • Porady
      • Dla domu
      • Dla firmy
      • Dla szkoły
      • Android
      • Windows
      • Przydatne programy
        • Komputer
        • Mobilne
    • Ciekawostki
    • AVG
      • Strona AVG w Polsce
      • AVG krok po kroku
      • Blog AVG
      • Informacje prasowe
      • Napisali o AVG
      • Promocje
      • Programy
        • Dla domu
        • Dla małej firmy
        • Dla biznesu
      • Forum
    • AVAST
    • Kontakt i współpraca
    Facebook YouTube
    TrybAwaryjny.plTrybAwaryjny.pl
    Strona główna»Porady dla firmy»Malware używające zabezpieczeń komputera do ataku
    Porady dla firmy

    Malware używające zabezpieczeń komputera do ataku

    Brak komentarzyPrzeczytasz w 2 minuty

    AVG namierzyło odmianę StartPage malware, które wykorzystuje Kingsoft WebShield jako pośrednika do ataku.

    Kingsoft jest jedną z najpopularniejszych marek antywirusowych w Chinach. Ich moduł WebShield ma na celu ochronę użytkownika przed phishingiem i przekierowaniem stron. Dwie kluczowe akcje jakie ten moduł realizuje to blokowanie strony startowej między innymi IE (popularnego w Chinach) i blokowanie prób przekierowań.

    Namierzony malware do ataku wykorzystuje moduły:

    Opatrzone podpisem cyfrowym KingSoft:

    oraz zmodyfikowane pliki konfiguracyjne:

    Plik kws.ini zawiera między innymi konfigurację strony startowej używanej w IE. W wersji zmodyfikowanej na taką:

    Oraz spitesp.dat który zawiera listę URL stron dla których próba odwiedzin zakończy się przekierowaniem na zdefiniowaną wyżej stronę startową:

    Jak to działa i jak wykorzystuje Kingsoftowy WebShield do ataku?

    Poniżej zrzut ekranu ze skryptu, który został wyciągnięty z zainfekowanej malware paczki instalacyjnej zbudowanej w NSIS (Nullsoft Software Install System) przez AVG:

    Po pierwsze skrypt sprawdza czy proces KSWebShield.exe czyli proces Kingsoft WebShield jest aktywny jeśli tak to zostaje skilowany i zatrzymana zostaje usługa(przez net stop) „Kingsoft WebShield Service RemoteService”.

    Po zatrzymaniu usługi i procesu malware podrzuca swoje pliki do folderu:

    a po tym wskazane wcześniej spreparowane pliki konfiguracyjne do folderu, w którym WebShield domyślnie przechowuje konfigurację:

    Na koniec uruchamiany jest skrypt bat, który uruchamia ponownie usługę WebShielda:

    Celem całego procesu była podmiana konfiguracji aplikacji na spreparowaną co w rezultacie pozwoliło malware wykorzystać poprawną aplikację zabezpieczającą do swoich celów – strona startowa przeglądarki została zmodyfikowana i użytkownik będzie na nią przekierowany za każdym razem gdy spróbuje wejść na którykolwiek z adresów ze wskazanej wcześniej listy.

    Kingsoft WebShield jest (był?) aplikacją dość skuteczną i całkiem nieźle realizował swoje założenia. Jego popularność w Chinach stała się powodem do zainteresowania i skutki widać powyżej – trywialna podmiana konfiguracji jest już szkodą dla użytkownika. Oczywiście pod start page przeglądarki można podstawić dowolny URL i exploitować system użytkownika.

    Podstawy jak zabezpieczenie własnej konfiguracji przed modyfikacją powinny być dość oczywistym posunięciem dla autorów wszelkiej maści programów zabezpieczających. Druga sprawa to przechowywanie konfiguracji w plain text. Dla przykładu pliki konfiguracyjne AVG, logi, dumpy są szyfrowane.

    Mam nadzieję, że to będzie niezłą lekcją dla twórców narzędzi zabezpieczających i da im do myślenia, że zabezpieczenie też można wykorzystać do ataku.

    Oceń artykuł
    [Głosów: 0 Średnia: 0]

    Podobał Ci się ten artykuł?

    Zapisz się na listę i nie przegap nowych ciekawostek, porad i konkursów!

    Prowadzisz małą lub średnią firmę?

    Pobierz Darmowy Ebook - Bezpieczna firma z AVG, który pomoże Ci zwiększyć bezpieczeństwo biznesu, zaoszczędzić czas oraz pieniądze.

    Znajdziesz w nim ponad 30 konkretnych artykułów, dzięki którym dowiesz jak się jak szybko i łatwo, za pomocą darmowych narzędzi zadbać o takie rzeczy jak: polityka bezpiecznych haseł, backup cennych danych, blokowanie portów USB, korzystanie z pulpitu zdalnego, awaryjne odzyskiwanie danych... i wiele, wiele więcej!

    Pobierz e-book teraz!

    Encyklopedia Bezpieczeństwa

    Odbierz darmowe porady od AVG
    exploit Internet Explorer Kingsoft malware URL webshield
    Udostępnij. Facebook Twitter Pinterest LinkedIn Tumblr Email
    Arkadiusz Zakrzewski

      Specjalista pomocy technicznej AVG, IT Wizard, zapalony gracz, fan komiksu, literatury fantasy i muzyki metalowej.

      Subscribe
      Powiadom o
      guest
      guest
      0 komentarzy
      Inline Feedbacks
      View all comments
      Najnowsze komentarze
      • Patryk Dropbox jest świetny. Fajnie zintegrowany z wieloma aplikacjami, wygodny, wiele użytecznyc...Dropbox – dysk w chmurze
      • Wiktoro Dobre zasilacze awaryjne UPS ma w ofercie marka armacJaki zasilacz UPS do firmy wybrać?
      • Arkadiusz Zakrzewski Cześć, Skontaktuj się z biuro@avg.pl podaj dane subskrypcji (numer zamówienia oraz nr refe...Pomoc techniczna dla użytkowników darmowych wersji antywirusów – AVG FREE i AVAST FREE
      • Robert Zainstalowałem i opłaciłem subskrypcję produktu avg TuneUp i teraz mam problem z anulowan...Pomoc techniczna dla użytkowników darmowych wersji antywirusów – AVG FREE i AVAST FREE
      • Asia Świetny artykuł, ale warto go trochę zaktualizować, bo powstało sporo ciekawych stron z ra...Aplikacja z promocjami – którą wybrać?
      Skuteczny Antywirus
      O nas

      TrybAwaryjny.pl to strona stworzona specjalnie dla użytkowników antywirusa AVG. Oprócz szeregu porad i artykułów dotyczących bezpieczeństwa, znajdziecie tutaj wszystko to co jest związane z programami AVG w Polsce. Możecie również zadać pytania dotyczące bezpieczeństwa komputerów ekspertom pomocy technicznej AVG.

      Znajdź nas na FB
      Facebook YouTube
      • Polityka prywatności
      • Regulamin
      © 2023 Trybawaryjny.pl

      Wypełnił powyższe pole i naciśnij Enter żeby wyszukać. Naciśnij Esc żeby anulować.

      wpDiscuz