- PVSM.RU - https://www.pvsm.ru -

«Большого грузинского брата» разберут по косточкам на PHDays

Pierre-Marc BureauПару дней назад мир облетела новость — «грузинский» ботнет на базе Win32/Georbot похищает секретные документы, а также делает аудио- и видеозаписи с помощью web-камер. Если вы желаете узнать, как работает Win32/Georbot, хотите научиться им управлять или нейтрализовывать, добро пожаловать на PHDays 30 и 31 мая. Ведущий инженер вирусной лаборатории ESET, специалист по кибервойнам и кибершпионажу Пьер-Марк Бюро (Pierre-Marc Bureau) проведет первый в мире мастер-класс по «гирботу».

Как он делает скриншоты и пишет звук?
Пьер продемонстрирует аудитории многочисленные «таланты» Win32/Georbot. В реальном времени вы увидите, как управляемый канадским специалистом зловред исполнит следующие фокусы:

• совершит кражу документов,
• снимет скриншоты Web-камерой, установленной на компьютере «жертвы»,
• сделает аудио-запись на встроенный микрофон,
• просканирует сеть,
• вызовет отказ в обслуживании.

Способы обфускации
Подобно настоящему резиденту, вредоносная программа не ищет славы и стремится оставаться в тени. Неприметной для антивирусов её делает закрытый и специально усложненный код. Участники мастер-класса узнают, каким образом реализована обфускация (запутывание) кода Win32/Georbot, и смогут прояснить для себя следующие моменты:

• контроль потока обфускации,
• строка обфускации,
• API вызова обфускации через хеширование.

Как управлять «гирботом»
Участники посмотрят, как данный «боевой червь» общается со своим командно-контрольным сервером, используя протокол HTTP. Пьер также покажет, как создать альтернативную команду и серверный элемент управления в лаборатории, и как давать программе команды и получить от нее обратную связь.

Что потребуется на мастер-классе
В общем, если вы не прочь почувствовать себя кибершпионом, не забудьте взять ноутбук с операционной системой Windows XP, установленной на виртуальной машине. Активным участникам мастер-класса необходимо также инсталлировать следующие приложения (их можно скачать бесплатно):
• Python,
• IDA Free,
• Immunity Debugger (или Olly, если предпочитаете),
• Wireshark.

Обязательные навыки для более плавного погружения в тему:
• понимание принципов сборки,
• понимание строения операционной системы Windows,
• понимание языка программирования Python.

Коротко о Win32/Georbot

По словам Пьер-Марка Бюро, семейство вредоносных приложений Win32/Georbot появилось примерно полтора года назад. Вирус имеет множество вариаций, не предназначен для «ковровой бомбардировки», используется для кражи конфиденциальной информации и с трудом поддается идентификации.

Ссылки по теме: новость о Win32/Georbot [1], подробный анализ [2]

Автор: ptsecurity


Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/master-klassy/4202

Ссылки в тексте:

[1] новость о Win32/Georbot: http://www.securitylab.ru/news/422007.php

[2] подробный анализ: http://blog.eset.com/wp-content/media_files/ESET_win32georbot_analysis_final.pdf