Windows backdoor disguises itself with MSN Messenger

Posted: 19/01/2013 in Uncategorized

reblogged from [https://www.security.nl/artikel/44782/1/Windows-backdoor_vermomt_verkeer_als_MSN_Messenger.html]

Onderzoekers hebben verschillende Windows-backdoors ontdekt die om detectie te voorkomen hun netwerkverkeer als dat van Windows Messenger (ook bekend als MSN Messenger) en Yahoo Messenger vermommen. Veel remote access Trojans (RATs) produceren netwerkverkeer dat inmiddels eenvoudig te herkennen is. De makers van de‘Fakem’ RATs besloten daarvoor een oplossing te zoeken. 

Het antwoord zou liggen in het netwerkverkeer op verschillende andere protocollen te laten lijken. Sommige varianten van de Fakem RAT lijken op Windows Messenger en Yahoo Messenger, terwijl anderen zich als normaal webverkeer voordoen. De Fakem RATs zouden al sinds september 2009 bij aanvallen zijn ingezet. 

Verkeer 
Echt veel moeite om het verkeer te vermommen doen de backdoors niet. In de meeste gevallen wordt alleen de header aangepast en is het verkeer van de echte Messenger programma’s en dat afkomstig van de backdoor eenvoudig te herkennen. 

Daarnaast gebruiken de aanvallers verschillende domeinen die op legitieme domeinen lijken, maar uiteindelijk ook duidelijk te herkennen zijn. Het gaat dan om yourturbe.org, googmail.com, avira.suroot.com en freeavg.sytes.net. 

“Kennis van aanvalstools, technieken en infrastructuur van tegenstanders is essentieel voor het ontwikkelen van verdedigingsstrategieën”, zegt onderzoeker Nart Villeneuve van Trend Micro. Hij stelt dat het verkeer van de Fakem RATs is te herkennen, maar dat dit in het geval van grote netwerken niet zo eenvoudig is, waardoor de aanvallers langer onopgemerkt blijven.

 

 

Leave a Reply

Please log in using one of these methods to post your comment:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s