![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
Avatar: новый способ связи с C&C
2013-05-06 12:13 pmНовый руткит Avatar использует интересный способ обновления списка C&C серверов: группы yahoo.
Раньше руткиты содержали фиксированный, жёстко прошитый список доменных имён, которые при желании можно было легко найти и резделегировать, либо перехватить контроль над C&C серверами. Эффективно, система DNS находится под контролем правительства, следовательно она плохо подходит для подобных задач.
Однако новый руткит работает немного по-другому. Он делает поиск по группам yahoo, извлекает зашифрованные послания из профилей юзеров, декодирует их по base64 и дешифрует с помощью открытого ключа RSA, а затем извлекает оттуда новые координаты C&C серверов. Подделать такое сообщение без закрытого RSA-ключа невозможно.
http://habrahabr.ru/company/eset/blog/178639/
(Вообще, в криптосистеме RSA не две, а четыре функции: rsa_public_encrypt, rsa_private_decrypt, rsa_private_encrypt, rsa_public_decrypt. Первая пара используется как основа асимметричного шифра, а вторая пара — как основа алгоритма электронной цифровой подписи. Ну и не только.)
Авторы руткита могли бы, конечно, и поизящнее что-то придумать, например хранить соответствующую информацию в перестановке палитры 256-цветного PNG-файла в аватарках пользователей какой-нибудь социальной сети (руткит же Avatar'ом называется!); однако для начала тоже неплохо.
Раньше руткиты содержали фиксированный, жёстко прошитый список доменных имён, которые при желании можно было легко найти и резделегировать, либо перехватить контроль над C&C серверами. Эффективно, система DNS находится под контролем правительства, следовательно она плохо подходит для подобных задач.
Однако новый руткит работает немного по-другому. Он делает поиск по группам yahoo, извлекает зашифрованные послания из профилей юзеров, декодирует их по base64 и дешифрует с помощью открытого ключа RSA, а затем извлекает оттуда новые координаты C&C серверов. Подделать такое сообщение без закрытого RSA-ключа невозможно.
http://habrahabr.ru/company/eset/blog/178639/
(Вообще, в криптосистеме RSA не две, а четыре функции: rsa_public_encrypt, rsa_private_decrypt, rsa_private_encrypt, rsa_public_decrypt. Первая пара используется как основа асимметричного шифра, а вторая пара — как основа алгоритма электронной цифровой подписи. Ну и не только.)
Авторы руткита могли бы, конечно, и поизящнее что-то придумать, например хранить соответствующую информацию в перестановке палитры 256-цветного PNG-файла в аватарках пользователей какой-нибудь социальной сети (руткит же Avatar'ом называется!); однако для начала тоже неплохо.
