BlackEnergy è un popolare DDoS Trojan, che ha acquisito notorietà nel 2008 quando è stato segnalato, utilizzato negli attacchi informatici lanciati contro il paese della Georgia nel conflitto Russia / Georgia. BlackEnergy è stato creato da un hacker russo. Una analisi completa della versione di BlackEnergy circolante al momento è stata fatta nel 2007 da Arbor Networks.
Anche se sono in circolazione molte versioni del kit generatore di trojan, l'ultima release originale del BlackEnergy trojan disponibile sembra essere la versione 1.9.2. A differenza della vecchia versione BlackEnergy, BlackEnergy 2 utilizza moderni rootkit / tecniche di processo di iniezione, la forte crittografia e presenta una architettura modulare.
Il kit originale BlackEnergy ha avuto una componente trojan rudimentale utilizzato per nascondere i trojan eseguibili e di processo, ma BlackEnergy 2 è molto più sofisticato. La base per il nuovo rootkit sembra essere trovata in un vecchio progetto rootkit rilasciato dall'autore chiamato "BlackReleaver".
L'analisi del codice ha dimostrato che il codice sorgente del vecchio rootkit è stato combinato con nuove funzioni per l'estrazione e l'iniezione di moduli nei processi utente e costituisce ora il nucleo del nuovo BlackEnergy rootkit basato su 2.
E2 utilizza un'architettura basata sui plugin, consentendo a chiunque con la conoscenza delle API per aggiungere nuove funzionalità al trojan. La DLL principale espone questa API ed è responsabile per il caricamento del plugin. Senza plugins, la funzionalità built-in di BE2 è molto limitata.
Fonte: Secureworks
Nessun commento:
Posta un commento