Malware używające zabezpieczeń komputera do ataku

0

AVG namierzyło odmianę StartPage malware, które wykorzystuje Kingsoft WebShield jako pośrednika do ataku.

Kingsoft jest jedną z najpopularniejszych marek antywirusowych w Chinach. Ich moduł WebShield ma na celu ochronę użytkownika przed phishingiem i przekierowaniem stron. Dwie kluczowe akcje jakie ten moduł realizuje to blokowanie strony startowej między innymi IE (popularnego w Chinach) i blokowanie prób przekierowań.

Namierzony malware do ataku wykorzystuje moduły:

Opatrzone podpisem cyfrowym KingSoft:

oraz zmodyfikowane pliki konfiguracyjne:

Plik kws.ini zawiera między innymi konfigurację strony startowej używanej w IE. W wersji zmodyfikowanej na taką:

Oraz spitesp.dat który zawiera listę URL stron dla których próba odwiedzin zakończy się przekierowaniem na zdefiniowaną wyżej stronę startową:

Jak to działa i jak wykorzystuje Kingsoftowy WebShield do ataku?

Poniżej zrzut ekranu ze skryptu, który został wyciągnięty z zainfekowanej malware paczki instalacyjnej zbudowanej w NSIS (Nullsoft Software Install System) przez AVG:

Po pierwsze skrypt sprawdza czy proces KSWebShield.exe czyli proces Kingsoft WebShield jest aktywny jeśli tak to zostaje skilowany i zatrzymana zostaje usługa(przez net stop) „Kingsoft WebShield Service RemoteService”.

Po zatrzymaniu usługi i procesu malware podrzuca swoje pliki do folderu:

a po tym wskazane wcześniej spreparowane pliki konfiguracyjne do folderu, w którym WebShield domyślnie przechowuje konfigurację:

Na koniec uruchamiany jest skrypt bat, który uruchamia ponownie usługę WebShielda:

Celem całego procesu była podmiana konfiguracji aplikacji na spreparowaną co w rezultacie pozwoliło malware wykorzystać poprawną aplikację zabezpieczającą do swoich celów – strona startowa przeglądarki została zmodyfikowana i użytkownik będzie na nią przekierowany za każdym razem gdy spróbuje wejść na którykolwiek z adresów ze wskazanej wcześniej listy.

Kingsoft WebShield jest (był?) aplikacją dość skuteczną i całkiem nieźle realizował swoje założenia. Jego popularność w Chinach stała się powodem do zainteresowania i skutki widać powyżej – trywialna podmiana konfiguracji jest już szkodą dla użytkownika. Oczywiście pod start page przeglądarki można podstawić dowolny URL i exploitować system użytkownika.

Podstawy jak zabezpieczenie własnej konfiguracji przed modyfikacją powinny być dość oczywistym posunięciem dla autorów wszelkiej maści programów zabezpieczających. Druga sprawa to przechowywanie konfiguracji w plain text. Dla przykładu pliki konfiguracyjne AVG, logi, dumpy są szyfrowane.

Mam nadzieję, że to będzie niezłą lekcją dla twórców narzędzi zabezpieczających i da im do myślenia, że zabezpieczenie też można wykorzystać do ataku.

Podobał Ci się ten artykuł?

Zapisz się na listę i nie przegap nowych ciekawostek, porad i konkursów!

Potrzebjesz pomocy z komputerem?

Skorzystaj z wiedzy ekspertów i zadaj pytanie.

Prowadzisz małą lub średnią firmę?

Pobierz Darmowy Ebook - Bezpieczna firma z AVG, który pomoże Ci zwiększyć bezpieczeństwo biznesu, zaoszczędzić czas oraz pieniądze.

Znajdziesz w nim ponad 30 konkretnych artykułów, dzięki którym dowiesz jak się jak szybko i łatwo, za pomocą darmowych narzędzi zadbać o takie rzeczy jak: polityka bezpiecznych haseł, backup cennych danych, blokowanie portów USB, korzystanie z pulpitu zdalnego, awaryjne odzyskiwanie danych... i wiele, wiele więcej!

Pobierz e-book teraz!

O Autorze

Specjalista pomocy technicznej AVG, IT Wizard, zapalony gracz, fan komiksu, literatury fantasy i muzyki metalowej.

Podobał Ci się ten tekst? Dołącz do nas na Facebooku i nie przegap NOWYCH artykułów!
Polub AVG na Facebooku