POSITIVE HACK DAYS



ОРГАНИЗАТОР

"Грузинский" ботнет от канадца Пьер-Марка Бюро. Новый мастер-класс на PHDays

  • 26 Марта 2012

    Вчера мир облетела новость - "грузинский" ботнет на базе Win32/Georbot похищает секретные документы, а также делает аудио- и видеозаписи с помощью web-камер.

    Узнать о том, как работает Win32/Georbot , научиться им управлять или нейтрализовывать можно будет на форуме Positive Hack Days. 30 и 31 мая. Ведущий инженер вирусной лаборатории ESET, специалист по кибервойнам и кибершпионажу Пьер-Марк Бюро (Pierre-Marc Bureau) проведет первый в мире мастер-класс по "гирботу".

    Как он делает скриншоты и пишет звук?

    Пьер продемонстрирует аудитории многочисленные возможности Win32/Georbot. В реальном времени вы увидите, как управляемый канадским специалистом зловред исполнит следующие фокусы:

    • совершит кражу документов;
    • снимет скриншоты Web-камерой, установленной на компьютере "жертвы";
    • сделает аудио-запись на встроенный микрофон;
    • просканирует сеть;
    • вызовет отказ в обслуживании.

    Способы обфускации

    Подобно настоящему резиденту, вредоносная программа не ищет славы и стремится оставаться в тени. Неприметной для антивирусов её делает закрытый и специально усложненный код. Участники мастер-класса узнают, каким образом реализована обфускация (запутывание) кода Win32/Georbot, и смогут прояснить для себя следующие моменты:

    • контроль потока обфускации;
    • строка обфускации;
    • API вызова обфускации через хеширование.

    Как управлять "гирботом"

    Участники посмотрят, как данный "боевой червь" общается со своим командно-контрольным сервером, используя протокол HTTP. Пьер также покажет, как создать альтернативную команду и серверный элемент управления в лаборатории, и как давать программе команды и получить от нее обратную связь.

    Что потребуется на мастер-классе

    Не забудьте взять ноутбук с операционной системой Windows XP, установленной на виртуальной машине. Активным участникам мастер-класса необходимо также инсталлировать следующие приложения (их можно скачать бесплатно):

    • Python;
    • IDA Free;
    • Immunity Debugger (или Olly, если предпочитаете);
    • Wireshark.

    Обязательные навыки для более плавного погружения в тему:

    • понимание принципов сборки;
    • понимание строения операционной системы Windows;
    • понимание языка программирования Python.

    Коротко о Win32/Georbot

    По словам Пьер-Марка Бюро, семейство вредоносных приложений Win32/Georbot появилось примерно полтора года назад. Вирус имеет множество вариаций, не предназначен для "ковровой бомбардировки", используется для кражи конфиденциальной информации и с трудом поддается идентификации.

    Ссылки по теме

    Новость о Win32/Georbot: http://www.securitylab.ru/news/422007.php.

    Подробный анализ: http://blog.eset.com/wp-content/media_files/ESET_win32georbot_analysis_final.pdf.

Возврат к списку