Kaspersky TLS-трафикті ажыратуға қабілетті зиянға шықты

«Касперский зертханасы» TLS-трафикті ажыратуға қабілетті, қажетсіз ұстап немесе оны түр-түрге ауыстыруға қабілетті жаңа зиянды бағдарламаны тапты. Болжам бойынша, бұл зиян операциясының артында Turla киберқылмыс тобы тұр. Вирусқа қарсы компанияның сарапшылары анықтаған үлгі Reductor атын алды, оның шабуылдары сәуірде алғаш рет байқалды. Зерттеушілер бұл зиян басқа COMpFun-троянмен байланысын тапты. «Касперский зертханасы» мамандарының айтуынша Reductor бірегей TLS-сертификаттарымен күрделі іс-әрекеттер жасай алады. Мұндай тәсіл заңды софт астында зиянды бағдарламаларды орнатушыларды бүркемелеуге мүмкіндік береді. «Reductor авторлары әдеттегі RAT-зиянды функциялары үшін (файлдарды түсіру, жүктеу және орындау) оны сандық сертификаттармен манипуляциялау мүмкіндігімен жабдықтады. Осының арқасында зиян шифрланған трафикті бірегей сәйкестендіргіштермен белгілей алады-деп жазады «Касперский зертханасы». Зерттеушілер Reductor танымал орнатушылардың (Internet Downloader Manager, WinRAR және басқа) жұқтыру есебінен немесе жүйеге басқа зиянды бағдарламаларды жүктеуі және орнатуы мүмкін COMpFun трояны арқылы таралатынын нақтылады. «Адам ортасында» немесе кілттерді ұрлау стандартты шабуыл тәжірибесіне қарағанда, Reductor Chrome немесе Firefox браузерлерінің бірін жұқтырады. Зиянкестер TLS-трафигін белгілеудің шын мәнінде қызықты тәсілін тапты- олар желілік пакеттерге мүлдем кедергі келтірмейді.Оның орнына операторлар Firefox және Chrome бастапқы кодын талдады, соның арқасында процесс жадында PRNG-функцияны тарату тәсілін тапты», -деп түсіндірді мамандар. Кездейсоқ сандардың генераторын жариялап, құрбанмен TLS-қосылым орнатылған кезде трафик шифрланатынын зиян қадағалай алады. Бұл деректерді шифрлеу мүмкін болғандықтан, шабуыл жасаушы оны беру кезінде трафикке қосыла алады.

Ақпарат көзі: https://www.anti-malware.ru/news/2019-10-04-1447/3...