Троян SabPub

Весной против тибетских активистов использовались и более технологичные разработки, относящиеся к классу APT. По горячим следам уязвимости Java, используемой Flashback (CVE-2012-0507), в апреле 2012 года в свет выходит еще одна разработка, троян SabPub.

Java-дроппер извлекал в каталог/115ег5/(имя пользователя)/ Library /Preferences полезную нагрузку под именем com. apple.PubSabAgent.pfile и прописывал ее в файле com.apple. PubSabAGent.plist в этом же каталоге для последующей загрузки. Нагрузка выполняла типично шпионские функции: формирование списка файлов, отправку интересующих файлов, а также скриншотов на удаленный сервер. В качестве средства доставки, кроме Java-апплета, также использовался файл doc, содержащий в себе эксплойт уязвимости MS09-027. Помимо SabPub, уязвимости CVE-2012-0507 и MS09-027 использовались для распространения вредоносов Olyx и Macontrol. Антивирусные компании любят все усложнять, и в их статьях можно встретить наименование Lamadai, под ним скрываются Olyx.В (Lamadai.А) и Sabpab.A (Lamadai.В).

В общем, несмотря на наличие многих технологических решений защиты компьютеров, атаки на OS X не слишком сильно отличаются от атак на Windows. Технологии меняются, пользователи - нет. Многие не следят за появлением исправлений системы, не устанавливают вовремя обновления безопасности, переходят по всякого рода сомнительным ссылкам и рассматривают фотографии эротического содержания, непонятно откуда скачанные. И еще раз, для скептиков: права root для всего этого не нужны.

Что такое APT?

Термин APT (Advanced Persistent Threat) был введен Военно-воздушными силами США в 2006 году для описания нового класса атак. Вредоносы, подпадающие под эту категорию, отличаются точным целенаправленным воздействием и постоянной ручной корректировкой процесса получения информации, что подразумевает тщательный сбор данных о будущей жертве. В качестве примера можно привести случай, когда в ходе проведения пентеста аудиторы узнали о пристрастии администратора сети к аниме, создали свой сайт, раскрутили его и завлекли на него админа. После этого были украдены куки и осуществлен вход в систему от его имени. Пример, конечно, не совсем корректный. В современных реалиях на сайте бы разместили эксплойт уязвимости браузера, который использует админ. В настоящее время под APT подразумевают вредоносное ПО, адресно рассылаемое конкретным лицам через электронную почту и внедренное в файлы DOC, RTF или PDF. Запуск осуществляется через эксплойт уязвимостей приложений, которые открывают файлы данных форматов.