«Большого грузинского брата» разберут по косточкам на PHDays

    Pierre-Marc BureauПару дней назад мир облетела новость — «грузинский» ботнет на базе Win32/Georbot похищает секретные документы, а также делает аудио- и видеозаписи с помощью web-камер. Если вы желаете узнать, как работает Win32/Georbot, хотите научиться им управлять или нейтрализовывать, добро пожаловать на PHDays 30 и 31 мая. Ведущий инженер вирусной лаборатории ESET, специалист по кибервойнам и кибершпионажу Пьер-Марк Бюро (Pierre-Marc Bureau) проведет первый в мире мастер-класс по «гирботу».

    Как он делает скриншоты и пишет звук?
    Пьер продемонстрирует аудитории многочисленные «таланты» Win32/Georbot. В реальном времени вы увидите, как управляемый канадским специалистом зловред исполнит следующие фокусы:

    • совершит кражу документов,
    • снимет скриншоты Web-камерой, установленной на компьютере «жертвы»,
    • сделает аудио-запись на встроенный микрофон,
    • просканирует сеть,
    • вызовет отказ в обслуживании.

    Способы обфускации
    Подобно настоящему резиденту, вредоносная программа не ищет славы и стремится оставаться в тени. Неприметной для антивирусов её делает закрытый и специально усложненный код. Участники мастер-класса узнают, каким образом реализована обфускация (запутывание) кода Win32/Georbot, и смогут прояснить для себя следующие моменты:

    • контроль потока обфускации,
    • строка обфускации,
    • API вызова обфускации через хеширование.

    Как управлять «гирботом»
    Участники посмотрят, как данный «боевой червь» общается со своим командно-контрольным сервером, используя протокол HTTP. Пьер также покажет, как создать альтернативную команду и серверный элемент управления в лаборатории, и как давать программе команды и получить от нее обратную связь.

    Что потребуется на мастер-классе
    В общем, если вы не прочь почувствовать себя кибершпионом, не забудьте взять ноутбук с операционной системой Windows XP, установленной на виртуальной машине. Активным участникам мастер-класса необходимо также инсталлировать следующие приложения (их можно скачать бесплатно):
    • Python,
    • IDA Free,
    • Immunity Debugger (или Olly, если предпочитаете),
    • Wireshark.

    Обязательные навыки для более плавного погружения в тему:
    • понимание принципов сборки,
    • понимание строения операционной системы Windows,
    • понимание языка программирования Python.

    Коротко о Win32/Georbot

    По словам Пьер-Марка Бюро, семейство вредоносных приложений Win32/Georbot появилось примерно полтора года назад. Вирус имеет множество вариаций, не предназначен для «ковровой бомбардировки», используется для кражи конфиденциальной информации и с трудом поддается идентификации.

    Ссылки по теме: новость о Win32/Georbot, подробный анализ
    Positive Technologies
    Компания

    Комментарии 5

      0
      Я думал про политику…
        0
        А сколько, еще не идентифицированных «братьев», проживает в сети…
          +2
          Такое чувство, когда читаешь топик, как будто читаешь цирковую афишку.
            0
            > снимет скриншоты Web-камерой, установленной на компьютере «жертвы»
            так скриншоты или все-таки камерой? или ее еще установить надо специальным образом напротив экрана?
              0
              Linuuuuuuxx богородицааа блогословиии…

              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

              Самое читаемое