Таргетированные атаки типа APT

Тема в разделе "Новости и статьи IT безопасности", создана пользователем Rafail, 3 апр 2013.

↑ ↓
  1. Rafail Гость
    Rafail
    Ответить в чате

    Репа:
    +0 / 0 / -0
    Таргетированные атаки типа APT зачастую начинаются с рассылки вредоносных файлов по электронной почте, чтобы «подцепить» жертву, а уже затем с её компьютера продолжить вредоносную активность в локальной сети.

    Участники хакерских курсов Rapid Reverse Engineering провели исследование, в каких программах создаются эти PDF-файлы. Студенты разработали скрипт Python для автоматического извлечения метаданных из файлов, хранящихся в базе образцов. Всего в базе было более 300 образцов APT-атак.

    Анализ файлов дал следующие результаты, вот десятка самых популярных программ.

    Acrobat Web Capture 8.0 (15%)
    Adobe LiveCycle Designer ES 8.2 (15%)
    Acrobat Web Capture 9.0 (8%)
    Python PDF Library - http://pybrary.net/pyPdf/ (7%)
    Acrobat Distiller 9.0.0 (Windows) (7%)
    Acrobat Distiller 6.0.1 (Windows) (7%)
    pdfeTeX-1.21a (7%)
    Adobe Acrobat 9.2.0 (4%)
    Adobe PDF Library 9.0 (4%)

    Кроме них, встречаются и такие артефакты (они не вошли в топ-10).

    Advanced PDF Repair (http://www.pdf-repair.com)
    Acrobat Web Capture 6.0
    doPDF Ver 6.2 Build 288 (Windows XP x32)
    alientools PDF Generator 1.52
    PDFlib 7.0.3 (C++/Win32)

    Всё это очень странно. Похоже, злоумышленники используют совершенно разный софт, в том числе устаревшие версии программ, и даже не пытаются стереть метаданные.

    Теоретически, можно даже сделать систему раннего обнаружения атак APT по метаданным во входящих PDF-файлах.
    (информация взята из источника comss.ru)
     
    • Мне нравится Мне нравится x 4

Поделиться этой страницей