Hjem > Cyber ​​Nyheder > Tilpasset Asnarok Trojan målretter mod firewalls i meget destruktive angreb
CYBER NEWS

Brugerdefinerede Asnarok Trojan er målrettet mod firewalls i meget destruktive angreb

En meget erfaren hackinggruppe er blevet opdaget for at bryde ind i netværk og firewalls ved hjælp af en malware kaldet Asnarok Trojan, også kendt som Asnarök.

Dette er et meget nyligt koordineret angreb markeret som meget destruktivt. Der er gjort en stor indsats for at analysere trojans evner og skader på offernetværk.




Asnarok Trojan angreb: den første infektion

I sidste uge blev der foretaget adskillige angreb med stor indvirkning på netværksinfrastruktur og firewalls, der beskyttet af forskellige virksomhedsejere. Undersøgelsen viser, at den oprindelige kilde til infektioner ser ud til at være forårsaget af en ukendt SQL-injektionsfejl. Resultatet af en vellykket udnyttelse er lanceringen af ​​et angreb på firewall, der beskytter målnetværket.

Denne taktik giver to meget vigtige antagelser, der er relateret til hackere bag Trojan-operationen. Den første er, at målet sandsynligvis er godt undersøgt af den kriminelle gruppe — det ser ud til, at hackerne har afsløret en farlig bug, som de har lært, hvordan de kan udnytte. For at udføre det skal de kontrollere, om systemet har alle kravene: en databaseserver, der kører den nødvendige softwareversion og en vedhæftet firewall, der kan udnyttes. Alt dette kan udføres enten ved at starte manuelle scanninger eller bruge et kompliceret hacking-værktøjssæt, der er fyldt med de nødvendige variabler og indstillinger. Det er også muligt, at alt dette gøres af han Asnarok Trojan selv.

Analysen af ​​Trojan-operationerne viser, at SQL-injektionen faktisk er en en-linjekode, der er placeret i en af ​​de eksisterende databaser. Dette vil gøre databasen serer for at hente en fil fra en hacker-kontrolleret server, der er hostet på et domænenavn, der lyder meget sikkert og legitimt for administratorer, da det efterligger en firewall-leverandør. Filen er den faktiske nyttelast-dropper, der er ansvarlig for Trojans installation og drift. Filen slettes til en midlertidig mappe designet til at gemme filer, som ikke altid bruges af systemet, ændret til at kunne eksekveres af brugere og processer og starte det.

Relaterede: [wplinkpreview url =”https://sensorstechforum.com/cve-2018-15715-hijack-zoom-conference-sessions/”]CVE-2018-15.715: Hackere Kan hijack Zoom konferencesessioner

Asnarok Trojan Unleashed: Indvirkning på systemerne

Så snart installationsskriptet udløses på de forurenede computere, vil den første handling være at køre en række SQL-kommandoer. De er designet til at ændre eller slette visse værdier, der er gemt i databasetabeller, en af ​​dem er visningen af ​​den forurenede enheds administrative IP-adresse. Ifølge forskerne gøres dette for at skjule tilstedeværelsen af ​​infiltrationen.

Payload-installationsskriptet starter derefter to andre separate scripts, som vil blive downloadet og udført fra den samme midlertidige mappe. Deres handlinger vil være at ændre konfigurationen af ​​de implementerede firewalls, starttidstjenester og andre kørende applikationer. En yderligere mekanisme, der køres af motoren, er vedholdende installation af al malware-kode. Hver gang enheden startes, startes scripterne. Nogle af de almindelige kørende applikationer og tjenester kan stoppes eller ændres. Et af manuskripterne vil etablere Trojan-forbindelsen som forbinder den kaprede maskine til en ekstern server, hvorfra et program vil blive downloadet. Dette kører en malware-firewall, der erstatter standardkøringssoftwaren.

Konsekvenserne af trojanske handlinger inkluderer datatyveri som kan indeholde databaseindhold og maskinsystemdata. Den indsamlede information kan bruges til at oprette en unik ID, der er baseret på de udpakkede data. Den komplette Asnarok Trojan-analyse ser ud til at kapre følgende data: offentlig IP-adresse, firewall-licensnøgle, SQL-brugerkontoinfo, administratoradgangskoder, VPN-brugere og -politikker. De indsamlede data arkiveres ved hjælp af tjære kommando og derefter krypteret vha OpenSSL. Den resulterende fil sendes til hackere via Trojan-netværksforbindelsen.

Kort efter den første infektion er foretaget, har leverandøren frigivet en patch til alle sårbare enheder. Automatiske opdateringer til firewalls skal være aktiveret, så filen hentes fra virksomheden og anvendes automatisk. For mere information, henvises til indledende rapport.

Martin Beltov

Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.

Flere indlæg

Følg mig:
Twitter

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Fortrolighedspolitik.
Jeg er enig