数日前、ニュースは世界中に広まりました。「Georgian」Win32 / Georbotベースのボットネットは、秘密の文書を盗み、Webカメラを使用してオーディオとビデオの記録を作成します。 Win32 / Georbotの仕組みを知りたい場合、それを管理または無効化する方法を学びたい場合は、5月30日と31日のPHDaysにようこそ。 ESETウイルス研究所の主要エンジニアであり、サイバー戦争とサイバースパイ活動の専門家であるピエールマルクビューローが、世界初のガーボットマスタークラスを開催します。
彼はどのようにスクリーンショットを撮り、音を書きますか?
Pierreは、Win32 / Georbotの多数の「才能」を聴衆に示します。 リアルタイムで、カナダの専門家が管理するマルウェアが次のトリックを実行する方法を確認できます。
•文書の盗難を犯し、
•「被害者」のコンピューターにインストールされたWebカメラのスクリーンショットを撮ります。
•内蔵マイクで音声録音を行う、
•ネットワークをスキャンし、
•サービス拒否を引き起こします。
難読化の方法
実際の居住者のように、マルウェアは名声を求めず、バックグラウンドに留まることを目指します。 プライベートで特別に複雑なコードにより、アンチウイルスにとって目立たなくなります。 マスタークラスの参加者は、Win32 / Georbotコードの難読化(エンタングルメント)がどのように実装されるかを学び、次の点を明確にすることができます。
•難読化フローの制御、
•文字列の難読化、
•ハッシュ難読化API。
ガーボートの管理方法
参加者は、この「戦闘ワーム」がHTTPプロトコルを使用してコマンドアンドコントロールサーバーと通信する方法を確認します。 Pierreは、実験室で代替コマンドとサーバー制御を作成する方法、およびプログラムにコマンドを与えてフィードバックを得る方法も示します。
マスタークラスで必要なもの
一般に、サイバースパイのような気にならない場合は、仮想マシンにWindows XPオペレーティングシステムがインストールされたラップトップを忘れずに持って行ってください。 マスタークラスのアクティブな参加者は、次のアプリケーションもインストールする必要があります(無料でダウンロードできます)。
•Python、
•IDA無料、
•免疫デバッガー(または必要に応じてOlly)、
•Wireshark。
トピックにスムーズに没頭するために必要なスキル:
•アセンブリの原則の理解、
•Windowsオペレーティングシステムの構造を理解する。
•Pythonプログラミング言語の理解。
Win32 / Georbot簡単に
Pierre-Marc Bureauによると、悪意のあるアプリケーションのWin32 / Georbotファミリーは約1年半前に登場しました。 このウイルスには多くのバリエーションがあり、「カーペット爆撃」を目的としておらず、機密情報を盗むために使用され、特定が困難です。
関連リンク: Win32 / Georbotニュース 、 詳細な分析