De VPNFILFER Trojan is bijgewerkt door de ontwikkelaars achter met nieuwe modules, dat het een nog gevaarlijker bedreiging te maken. De gedetailleerde security analyse blijkt dat in de handen van ervaren hackers kan aanzienlijke schade aan hele netwerken veroorzaken.
VPNFILTER Trojan Bijgewerkt Once Again, Nu heeft een nog dodelijker Arsenal of Modules
De VPNFilter Trojan is een van de meest geavanceerde bedreigingen waargenomen door de beveiliging analisten van de late. De eerste gerichte aanvallen waren in staat om neer te halen duizenden netwerkapparaten over de hele wereld. Het security team dat het rapport wordt gesteld dat de bijgewerkte versie voegt extra derde fase modules die de functionaliteit sterk verbetert.
Een functionele toevoeging is de mogelijkheid om netwerken in te zetten en te exploiteren eindapparatuur die op hetzelfde netwerk worden geplaatst als VPNFILTER-geïnfecteerde gastheren. De hackers kunnen verduisteren en versleutelen het netwerkverkeer kreeg van hen terug naar de geïnfecteerde klanten. Verschillende gebruiker identificatie tools kunnen worden gebruikt na de infecties, dit zal de operators helpen uit te voeren identiteitsdiefstal en andere misdrijven. Een andere belangrijke nieuwe toevoeging is de mogelijkheid te creëren om grote netwerk van proxy's die gebruikt kunnen worden in een gecoördineerde aanvallen. Als gevolg van deze de netwerkanalyse misleidend voor sommige beheerders kunnen worden.
De eerste toevoeging aan de VPNFILTER Trojan is de eindpunt exploitatie module. Het is gebaseerd op open-source code en zijn primaire functie is om alle web server verkeer doorsturen naar een andere haven. Deze module is ook geprogrammeerd om de HTTP-verzoeken te inspecteren en het identificeren van potentiële Windows executables. Er wordt aangenomen dat dit maakt gebruik van een ingebouwde lijst van target apps. Als een van hen zijn in aanraking met de module zal downloaden en patchen ze on the fly aan potentiële blokken te omzeilen.
Om een diepere infectie benutten en laat de operators meer vrijheid een nieuw multi-functionele SSH gereedschap is geïmplementeerd. Het kan de havens van verschillende IP-adressen te scannen om te beoordelen of wel of niet de Trojaanse hen kan infecteren door middel van een kwetsbare dienst. Dit zal ook het opzetten van een afstandsbediening server, het zal authenticeren met een publieke sleutel in plaats van een typisch wachtwoord. De ingezette verbinding kan verbinding maken met een remote host en de afgifte van verschillende opdrachten. Wanneer behoorlijk geprogrammeerd kan kan lanceren van een denial-of-service (DoS) hulpprogramma voor eenvoudige argumenten.
De brede aanvallen op het netwerk gebied kan beter worden gecoördineerd door het inschakelen van de netwerk mapper. Het zal scannen of alle open poorten op het netwerk en pogingen om automatisch verbinding te maken diensten te openen. De analyse blijkt dat de volgende poorten gepeild:
9, 21, 22, 23, 25, 37, 42, 43, 53, 69, 70, 79, 80, 88, 103, 110, 115, 118, 123, 137, 138, 139, 143, 150, 156, 161, 190, 197, 389, 443, 445, 515, 546, 547, 569, 3306, 8080 en 8291.
Het is een ingebouwde functie kan MikroTik apparaten met behulp van het protocol MikroTik Network Discovery lokaliseren (MNDP). Als de apparaten zijn online en te reageren zullen ze de volgende gegevens te retourneren:Mac adres, systeem identiteit, versienummer, platformtype, uptime seconds, RouterOS software ID, RouterBOARD model, en de interface naam van het gevonden apparaat.
Port forwarding is een mechanisme dat wordt misbruikt door vele Trojaanse paarden van de late. Juiste wijze geconfigureerd kan de netwerkverkeer te zijn gericht tegen een doelwit infrastructuur. Voor een dodelijke aanval kan worden gecombineerd met een SOCKS5 proxy. De geïnfecteerde gastheren zullen worden geconfigureerd om een proxy te vestigen op hen. Dit kan worden gebruikt om shapers te manipuleren, routers en andere netwerkapparaten.
eindelijk een Reverse-TCP VPN server kan worden ingeschakeld op de geïnfecteerde hosts. Complex netwerkconfiguraties en firewalls kunnen worden omzeild met behulp van deze methode als bedrijfsnetwerken doorgaans vertrouwen op dergelijke maatregelen als onderdeel van hun veiligheidsbeleid.
Het netwerk analyse blijkt dat na de laatste paar grootschalige aanvallen de VPNFILTER Trojan is gebleken dat een aantal grote updates ondergaan. Het is mogelijk dat de criminelen zijn van plan een grote cyberaanval en dit is de reden voor de significante updates.
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij: