Beta Bot za 500 euro

Przeczytaj także: Zagrożenia internetowe I-VI 2012

Większość funkcji to standardowe rozwiązania dostępne we współczesnych botach jak: różne metody ataków DDoS, możliwość zdalnego łączenia z siecią, formularze przechwytujące i inne formy kradzieży informacji. Szczególną uwagę pracowników G Data SecurityLabs zwróciła funkcja „Disable Anti Virus”! Zgodnie z reklamą dostępną na jednym z podziemnych for internetowych oferujących złośliwe oprogramowanie Beta Bot potrafi wyłączyć ochronę ponad 30 programów antywirusowych.

Jak działa bot?

Po zainstalowaniu na komputerze Beta Bot przeszukuję dysk celem odnalezienia oprogramowania antywirusowego będącego w jego bazie. Po odnalezieniu softu złośliwe oprogramowanie rozpoczyna atak na antywirusa poprzez zabijanie procesu edytując wpisy w rejestrze lub wyłączając aktualizację. W zależności od zainstalowanego oprogramowania zabezpieczającego Beta Bot próbuję także obejść zabezpieczenie Firewall wykorzystując do tego programy przepuszczane przez zaporę jak Internet Explorer.

UAC (Users Access Control) – wszystko to kwestia uprawnień

W najnowszych systemach operacyjnych mamy dwa rodzaje uprawnień: niskie dla użytkowników oraz tzw. wysokie dla administratorów. W przeciwieństwie do administratora użytkownik nie może zmienić najistotniejszych ustawień systemu. Jeżeli użytkownik rozpocznie proces, ten otrzymuję uprawnienia zgodne z uprawnieniami jego inicjatora. Zgodnie z tym procesy także możemy rozróżniać dzięki nadanym im uprawnieniom.

Procesy z niskimi uprawnieniami nie mogą modyfikować tych z wyższymi. Natomiast procesy z podwyższonym uprawnieniami mogą modyfikować oba rodzaje procesów. Dodatkowo procesy dziedziczą uprawnienia po sobie. By zapobiec szkodzącemu systemowi złośliwemu oprogramowaniu, podniesienie uprawnień zostało uznane za jedno z najbardziej krytycznych działań. Decyzja o nadaniu większych uprawnień pozostaje w rękach użytkownika. Okno UAC dostarcza podstawowych informacji o programie dla którego mają zostać zwiększone uprawnienia by ułatwić podjęcie decyzji. Beta Bot wykorzystuję interfejs komunikacyjny UAC i poprzez metody socjotechniczne próbuję uzyskać zwiększenie uprawnień uzyskując na to zgodę użytkownika.

Techniki Beta Bot

Niektóre złośliwe programy mogą działać na niskich uprawnieniach ponieważ wciąż daję im to możliwość modyfikacji procesów z takimi samymi uprawnieniami i dokonywać szkód na zainfekowanej maszynie. Jednak programy antywirusowe działają ze zwiększonymi uprawnieniami gdyż muszą mieć dostęp do wszystkich zasobów systemu dzięki czemu zapewniają nam maksimum bezpieczeństwa. Dlatego by zaatakować oprogramowanie antywirusowe Beta Bot musi zwiększyć swoje uprawnienia. By osiągnąć ten cel twórcy malware wykorzystali dwa triki.