backdoor

  • Нов малуер е открит при разследването на атаката на SolarWinds

    Последен ъпдейт на 16 януари 2021 в 03:53 ч.

    Експлоатирането на уязвимости срещу платформата на SolarWinds – Orion, използванo в компрометирането на американското правителство, продължава да разширява мащаба си. Поредното развитие по казуса е открито от компанията за киберсигурност CrowdStrike – става въпрос за уязвимост, озаглавена Sunspot.

    Благодарение на нея, хакерите могат да инжектират backdoor в платформата Orion на SolarWinds. Този зловреден код наблюдава изпълняваните системни процеси и замества един от изходните файлове със друг зловреден софтуер – SUNBURST. Част от функционалността на Sunspot е включването на защити, които да попречат присъствието му да бъде разкрито и да гарантират успеха на „мисията“ му.

    Към момента общият брой на известните жертви на уязвимостите в Orion вече е над 18 хил. Сред тях са редица американски правителствени агенции.

    “Щамът” на Sunspot не е непознат на разследващите supply chain атаката. До момента той е наричан по-различен начин от различните киберизследователи – StellarParticle (от CrowdStrike), UNC2452 (от FireEye) и Dark Halo (от Volexity).

    Sunspot е поредният злонамерен софтуер, свързан с най-големия киберпробив от години. До момента станаха известни:

    • Sunburst, инсталирал троянски кон в платформата Орион по време на автоматична актуализация
    • Teardrop, използван за инсталиране на софтуерно устройство за навигация (Cobalt Strike beacon)
    • SuperNova, внедрен като DLL файл, който позволява на атакуващите да изпращат, компилират и изпълняват C# код от разстояние
    Източник: SolarWinds
    Източник: SolarWinds

    Самоличността на хакерите на SolarWinds все още не е разкрита. Въпреки това Kaspersky направи връзка с известна по-рано група за кибершпионаж. Установи, че задната врата на Sunburst има припокривания на функции с Kazuar.NET backdoor, обвързан условно с руската хакерска група Turla.

    Разбира се, възможно е нападателите да са били „вдъхновени“ от кода на Kazuar или и двете групи да са получили своя зловреден софтуер от един и същ източник или пък кодът да е използван в атаката специално, за да обвини Turla и да замеси Москва…

    Междувременно, ФБР също разследва предполагаема руска следа в атаката срещу американското правителство.

  • Администраторите, които използват Zyxel устройства във своите мрежи – незабавно актуализирайте фърмуера им

    Над 100 хил. Zyxel защитни стени (firewalls), VPN маршрутизатори и контролери са потенциално уязвими, тъй като във фърмуера им се съдържат потребителско име и парола, осигуряващи администраторски достъп.

    Тази предефинирана функционалност може да бъде използвана от хакери като backdoor за достъп до засегнатите устройства, чрез SSH интерфейса или чрез панела за уеб администриране.

    От Zyxel заявяват, че използват “hardcoded” потребител и парола, за да доставят автоматични актуализации на фърмуера на някои от устройствата си чрез FTP.

    Компанията пусна ZLD V4.60 Patch 1, за премахване на вградените креденшъли в уязвими ATP, USG, USG Flex и VPN устройства и обяви, че тези с по-ранен фърмуер или SD-OS не са засегнати.

    Уязвимостите на VPN устройствата са изключително опасни, тъй като те могат да се използват за създаване на нови VPN акаунти. Чрез тях злонамерени лица могат да получат достъп до вътрешната ви мрежа или да създадат правила за пренасочване на портове, за да направят вътрешните ви услуги обществено достъпни.

    Този тип уязвимости се използват за последващо инжектиране на рансъмуер или компрометиране на вътрешни корпоративни мрежи и кражба на данни от тях.

    Повече за това как престъпниците експлоатират вградени в устройствата уязвимости може да прочетете ТУК.

  • Netcat vs Cryptcat, кой от двата инструмента да използваме?

    Последен ъпдейт на 28 юни 2018 в 11:29 ч.

    Като системни администратори или специалисти по информационна сигурност, на всеки от нас най-вероятно му се е налагало да използва инструмента за дебъгинг Netcat. Нека все пак си припомним какви са функциите му и как може да бъде използван:

    Netcat е един много добре разработен инструмент, които може да изпраща или получава информация посредством TCP или UDP протоколи. Има възможност да работи както като сървър, така и като клиент, за да трансферира файлове, да отваря backdoor shell в системата, да служи за сканиране или пренасочване на портове и дори като чат сървър/клиент.

    Нека дадем и нагледен пример с това, как можем да отворим отдалечен backdoor към машина. За целта ще изпълним следната команда върху машината, която искаме да достъпим.

    nc -l -p 2000 -e /bin/bash

    С тази команда приложението се стартира в „сървърен“ режим, като отваря порт 2000 за достъп и изпълнява командния шел BASH.

    Следващата стъпка е да изпълним следната команда върху друга машина:

    nc <remote ip address> 2000

    Така на практика ние си отворихме backdoor на порт 2000, през който можем да изпълняваме BASH Shell команди върху отдалечената машина.

    Дотук всички сме съгласни, че инструментът може да бъде много полезен и широко използван в ежедневните ни задачи.

    Като специалисти по информационна сигурност, може би някой от вас вече са се запитали „Какво става с трафика, които генерираме? Има ли начин да бъде проследен?

    Отговорът е ДА.

    Трафикът който генерира NetCat е некриптиран и с инструмент като wireshark, лесно може да бъде „прослушан“. Оставяме на вас да направите експеримент и след като стартирате гореописаната команда, да изследвате комуникацията с любимия си инструмент за мрежово проследяване на трафик.

    Какво е решението, ако искаме комуникацията ни с NetCat да е криптирана?

    Тук на помощ идва CryptCat.

    CryptCat е същия инструмент, но с добавена възможност за криптиране на комуникацията с Two-Fish алгоритъм.

    Опитайте сега същата опитна постановка, но използвайки CryptCat. Резултатът е различен нали? ;)

    Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Back to top button