- PVSM.RU - https://www.pvsm.ru -

Утечка исходных текстов Carberp — это большой удар по безопасности пользователей

Уже не является секретом тот факт, что полные исходные тексты известного банковского вредоносного ПО Carberp утекли в паблик. Около 5GB исходных текстов оказались в поле зрения фактически любого желающего. Архив включает в себя:

  • Исходный текст буткита, km драйверов и всего что работает в km.
  • Билдер дропперов.
  • Плагины.
  • Веб-инжекты.
  • LPE эксплойты.
  • Огромное количество другой полной и необходимой информации, чтобы начать свой собственный проект по разработке вредоносного кода.

Как и в случае с Zeus, история началась с того, что архив с текстами был выставлен на продажу на нескольких подпольных форумах. Ниже представлен пост с объявлением с одного из форумов. Первоначально информация о том, что исходные тексты Carberp были выставлены на продажу была опубликована [1] Trusteer 18-го июня, т. е. около недели назад. При этом указывалось, что цена архива составляет $50,000. Но позже на одном из форумов появилась информация, что тексты продаются по очень низкой цене, всего лишь $5,000. Архив включает в себя тексты вредоносного кода и купленные сторонние наработки с 2008 г.

Утечка исходных текстов Carberp — это большой удар по безопасности пользователей

Нам удалось получить архив с исходными текстами Carberp и мы можем констатировать тот факт, что утечка исходных текстов Carberp является самой крупной вообще из тех, что были раньше среди вредоносных программ. При этом в этот показатель входит как количество возможностей самого вредоносного кода, которые описываются включенными текстами, их степенью детальности, а также деструктивности, которую могут нанести клоны, основанные на этих исходных текстах.

Утечка исходных текстов Carberp — это большой удар по безопасности пользователей

Утечка исходных текстов Carberp — это большой удар по безопасности пользователей

Один из модераторов kernelmode.info, EP_X0FF собрал [2] статистику по семействам вредоносных программ, функционал которых описан утекшими текстами. Этот список действительно впечатляет(!): Ursnif, Rovnix, Alureon, Phdet, Zeus, Vundo, SpyEye. Все эти семейства вредоносных программ очень хорошо известны ресерчерам и получили большое распространение.

Утечка исходных текстов Carberp — это большой удар по безопасности пользователей

Поясним, что Carberp изначально не имел своей bootkit-составляющей до 2011 г., когда разработчиками был куплен фреймворк Rovnix (одно из первых семейств буткитов, которое использовало метод заражения VBR, что позволяло загружать свой драйвер на x64 платформах в обход ограничений ОС). Код Rovnix и история включения его исходных текстов в Carberp были детально описаны нашим коллегой Александром Матросовым здесь [3]. Мы также составляли полный отчет [4] об эволюции Carberp, в котором можно было отследить этапы развития вредоносного кода.

Многие издания и АВ-вендоры напишут или уже написали об инциденте, связанном с утечкой исходных текстов Carberp, так как это действительно громкий инцидент, который может повлечь за собой неприятные последствия. Имеется в виду факт появления клонов как самого банковского предоносного ПО Carberp, буткит-платформы Rovnix, так и другого вредоносного кода, который может быть создан по оказавшимся в паблике исходным текстам вредоносного кода.

Автор: esetnod32

Источник [5]


Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/blog-kompanii-eset-nod32/37318

Ссылки в тексте:

[1] была опубликована: http://www.trusteer.com/blog/carberp-source-code-for-sale-free-bootkit-included

[2] собрал: http://www.kernelmode.info/forum/viewtopic.php?f=16&t=2793&start=10#p19792

[3] здесь: http://www.welivesecurity.com/2012/07/13/rovnix-bootkit-framework-updated/

[4] полный отчет: http://www.welivesecurity.com/2011/11/21/evolution-of-win32carberp-going-deeper/

[5] Источник: http://habrahabr.ru/post/184576/