Der VPNFILFER Trojan wurde dahinter mit neuen Modulen von den Entwicklern aktualisiert, dass es eine noch gefährlichere Bedrohung machen. Die detaillierte Sicherheitsanalyse zeigt, dass es in den Händen von erfahrenen Hackern erhebliche Schäden an ganze Netzwerke verursachen können.
VPNFILTER Trojan noch einmal aktualisiert, Jetzt hat ein noch tödlichere Arsenal Modul
Der VPNFilter Trojan ist eine der anspruchsvollsten Bedrohungen durch Sicherheitsexperten in der letzten Zeit beobachtet. Seine erste gezielte Angriffe konnten Tausende von Netzwerkgeräten, take down rund um den Globus. Das Sicherheitsteam, das den Bericht gemacht besagt, dass die aktualisierte Version zusätzlichen dritte Stufe Module ergänzt, die ihre Funktionalität stark erweitert.
Eine funktionale Ergänzung ist die Fähigkeit, Netzwerke zu nutzen und Endgeräten zu nutzen, die auf dem gleichen Netzwerk wie VPNFILTER-infizierten Rechner platziert. Der Hacker kann den Netzwerkverkehr von ihnen zurück zu den infizierten Kunden kommt in verschleiern und verschlüsseln. Mehrere Benutzeridentifikation Werkzeuge können im Anschluss an die Infektionen verwendet werden, dies wird die Betreiber zur Durchführung von Identitätsdiebstahl und andere Verbrechen helfen. Eine weitere wichtige neue Ergänzung ist die Fähigkeit zu großen Netzwerk von Proxies zu erstellen, die in koordinierter Angriffen verwendet werden können,. Als Folge davon kann die Netzwerkanalyse für einige Administratoren irreführend sein.
Die erste Neben dem VPNFILTER Trojan ist die Endpunktmodul Ausbeutung. Es basiert auf Open-Source-Code und seine primäre Funktion ist es, all Web-Server-Datenverkehr auf einem anderen Port weiterleiten. Dieses Modul wird auch die HTTP-Anforderungen programmiert zu überprüfen und mögliche ausführbare Windows-Dateien zu identifizieren. Es wird vermutet, dass dies eine eingebaute Liste von Ziel Anwendungen verwendet. Wenn einer von ihnen angetroffen werden, wird das Modul herunterladen und sie auf die Schnelle Patch mögliche Blöcke zu umgehen.
Um eine tiefere Infektion wirksam einzusetzen und den Betreibern eine größere Freiheit ein neues ermöglichen multifunktionales Werkzeug SSH ist implementiert. Es kann scannen die Ports von verschiedenen IP-Adressen, um zu beurteilen, ob der Trojaner sie durch eine verwundbare Dienst infizieren kann. Dies wird auch einen Fernsteuerungsserver einrichten, es wird anstelle eines typischen Passwort mit einem öffentlichen Schlüssel authentifizieren. Die eingesetzte Verbindung kann zu einem Remote-Host verbinden und verschiedene Befehle erteilen. Wenn programmiert richtig kann es kann ein Start Denial-of-Service- (DoS) Dienstprogramm mit einfachen Argumenten.
Die Wide Area Network-Angriffe können besser koordiniert werden, durch die Freigabe Netzwerk-Mapper. Es scannt oder alle offenen Ports im Netzwerk und versucht, automatisch eine Verbindung her Dienste zu öffnen. Die Analyse zeigt, dass die folgenden Ports sondiert werden:
9, 21, 22, 23, 25, 37, 42, 43, 53, 69, 70, 79, 80, 88, 103, 110, 115, 118, 123, 137, 138, 139, 143, 150, 156, 161, 190, 197, 389, 443, 445, 515, 546, 547, 569, 3306, 8080 und 8291.
Es ist eine integrierte Funktionalität kann MikroTik Geräte mit dem MikroTik Network Discovery Protocol lokalisieren (MNDP). Wenn die Geräte online und reagieren sind, werden sie die folgenden Daten zurück:MAC-Adresse, Systemidentität, Versionsnummer, Plattformtyp, Betriebszeit in Sekunden, RouterOS Software ID, Routermodell, und Schnittstellennamen aus dem erkannten Gerät.
Port-Weiterleitung ist ein Mechanismus, der von vielen Trojaner in der letzten Zeit missbraucht wird. Wenn ordnungsgemäß konfiguriert wird der Netzwerkverkehr zulassen gegen eine Ziel-Infrastruktur geleitet werden. Für einen tödlichen Angriff kann es mit einem kombiniert werden SOCKS5 Proxy. Die infizierten Rechner wird so konfiguriert, einen Proxy auf ihnen aufzubauen. Dies kann dazu verwendet werden, Shaper zu manipulieren, Router und andere Netzwerkgeräte.
endlich ein Rückwärts-TCP VPN Server kann auf den infizierten Hosts aktiviert werden. Komplexe Netzwerkkonfigurationen und Firewalls können mit dieser Methode als Unternehmensnetzwerke typischerweise auf solche Maßnahmen im Rahmen ihrer Sicherheitspolitik verlassen werden umgangen.
Die Netzwerkanalyse zeigt, dass nach der letzten Großangriffe der VPNFILTER Trojan mehrere wichtige Updates gezeigt zu unterziehen ist. Es ist möglich, dass die Kriminellen einen weiteren großen Cyber-Angriff planen und dies ist der Grund für die wesentlichen Updates.
Martin Beltov
Martin hat einen Abschluss in Publishing von der Universität Sofia. er schreibt gerne über die neuesten Bedrohungen und Mechanismen des Eindringens Als Cyber-Security-Enthusiasten.
Folge mir: