WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Phần mềm gián điệp RCS hoàn toàn không bị phát hiện
Theo báo cáo của một nhà nghiên cứu an ninh mạng, một số phần mềm diệt virus hoàn toàn không phát hiện được biến thể thu thập cuối tháng trước của phần mềm gián điệp RCS (Remote Control System).
RCS được phát triển bởi Hacking Team, có thể hoạt động trên nhiều nền tảng máy tính khác nhau. Phần mềm gián điệp này được thiết kế riêng cho các cơ quan chính phủ phục vụ mục đích giám sát.
Thử nghiệm phát hiện mẫu được tiến hành bởi nhà phát triển Claudio Guarnieri của Detekt. Detekt là bộ quét miễn phí được thiết kế đặc biệt giúp các nhà báo, nhà hoạt động chính trị, xã hội và các nhà bảo vệ nhân quyền phát hiện dấu vết phần mềm gián điệp do các tổ chức chính phủ cài cắm trên máy tính của họ.
Ngày 26/11, Guarnieri đã thử nghiệm các phần mềm diệt virus của Kaspersky, Avira (bản miễn phí), G Data và ESET và thấy rằng không có phần mềm nào có khả năng phát hiện dấu hiệu hệ thống đã bị lây nhiễm RCS. Theo kết quả phân tích trên VirusTotal ngày 26/9, không có công cụ diệt virus nào phát hiện được bản chất độc hại của file được kiểm tra.
VirusTotal chỉ bao gồm một số lượng giới hạn các giải pháp phát hiện virus; do vậy, không phải tất cả các tính năng phát hiện đều được sử dụng. Rất nhiều sản phẩm dựa trên phân tích hành vi để phát hiện mã độc chưa được nhận diện.
Một nhà phân tích mã độc của Bitdefender cho biết, trước đây phần mềm diệt virus của họ phát hiện được mẫu RCS thông qua phát hiện hành vi. Các phần mềm khác cũng có thể phát hiện mã độc bằng cách tương tự.
Cuối tuần trước, kết quả phân tích trên VirusTotal của mẫu phần mềm gián điệp RCS mới được Guarnieri đăng tải trên Twitter, tuy nhiên kết quả này cũng không có gì khả quan: chỉ 2 engine gán nhãn mã độc cho file.
Mẫu RCS được thử nghiệm ngày 23/11 hoàn toàn không bị phát hiện vì nó cải trang thành tiện ích quản lý bookmark có tên Linkman, và mẫu này cũng lợi dụng chữ ký số hợp lệ để thực hiện chức năng.
Cuối tuần trước, tiện ích quản lý bookmark Outertech Linkman cảnh báo khách hàng kiểm tra xem tên nhà phát hành có trùng khớp với tên của họ khi cài đặt tiện ích này không. Phiên bản bị nhiễm mã độc dựa trên chứng thư được phát hành riêng có tên Jagdeependra.
RCS được phát triển bởi Hacking Team, có thể hoạt động trên nhiều nền tảng máy tính khác nhau. Phần mềm gián điệp này được thiết kế riêng cho các cơ quan chính phủ phục vụ mục đích giám sát.
Thử nghiệm phát hiện mẫu được tiến hành bởi nhà phát triển Claudio Guarnieri của Detekt. Detekt là bộ quét miễn phí được thiết kế đặc biệt giúp các nhà báo, nhà hoạt động chính trị, xã hội và các nhà bảo vệ nhân quyền phát hiện dấu vết phần mềm gián điệp do các tổ chức chính phủ cài cắm trên máy tính của họ.
Ngày 26/11, Guarnieri đã thử nghiệm các phần mềm diệt virus của Kaspersky, Avira (bản miễn phí), G Data và ESET và thấy rằng không có phần mềm nào có khả năng phát hiện dấu hiệu hệ thống đã bị lây nhiễm RCS. Theo kết quả phân tích trên VirusTotal ngày 26/9, không có công cụ diệt virus nào phát hiện được bản chất độc hại của file được kiểm tra.
VirusTotal chỉ bao gồm một số lượng giới hạn các giải pháp phát hiện virus; do vậy, không phải tất cả các tính năng phát hiện đều được sử dụng. Rất nhiều sản phẩm dựa trên phân tích hành vi để phát hiện mã độc chưa được nhận diện.
Một nhà phân tích mã độc của Bitdefender cho biết, trước đây phần mềm diệt virus của họ phát hiện được mẫu RCS thông qua phát hiện hành vi. Các phần mềm khác cũng có thể phát hiện mã độc bằng cách tương tự.
Cuối tuần trước, kết quả phân tích trên VirusTotal của mẫu phần mềm gián điệp RCS mới được Guarnieri đăng tải trên Twitter, tuy nhiên kết quả này cũng không có gì khả quan: chỉ 2 engine gán nhãn mã độc cho file.
Mẫu RCS được thử nghiệm ngày 23/11 hoàn toàn không bị phát hiện vì nó cải trang thành tiện ích quản lý bookmark có tên Linkman, và mẫu này cũng lợi dụng chữ ký số hợp lệ để thực hiện chức năng.
Cuối tuần trước, tiện ích quản lý bookmark Outertech Linkman cảnh báo khách hàng kiểm tra xem tên nhà phát hành có trùng khớp với tên của họ khi cài đặt tiện ích này không. Phiên bản bị nhiễm mã độc dựa trên chứng thư được phát hành riêng có tên Jagdeependra.
Nguồn: Softpedia
Chỉnh sửa lần cuối bởi người điều hành: