Den VPNFILFER Trojan er blevet opdateret af udviklerne bag det med nye moduler, der gør det til en endnu mere farlig trussel. Den detaljerede sikkerhed analyse viser, at i hænderne på erfarne hackere det kan forårsage betydelig skade på hele netværk.
VPNFILTER Trojan Opdateret Once Again, Nu har en endnu mere dødbringende Arsenal af moduler
Den VPNFilter Trojan er en af de mest sofistikerede trusler observeret af sikkerhedsmæssige analytikere af sent. De første målrettede angreb var i stand til at tage ned tusindvis af netværksenheder hele verden. Sikkerheden hold, der gjorde det i rapporten, at den opdaterede version tilføjer yderligere tredje-trins-moduler, som stærkt øger sin funktionalitet.
En funktionel tilføjelse er evnen til at udnytte netværk og udnytte slutpunktsenheder der er placeret på det samme netværk som VPNFILTER-inficerede værter. Hackerne kan sløre og kryptere netværket trafik, der kommer ind fra dem tilbage til de inficerede klienter. Flere bruger identifikationsværktøjer kan bruges efter infektioner, dette vil hjælpe operatørerne til at udføre identitetstyveri og andre forbrydelser. En anden væsentlig ny tilføjelse er evnen til at skabe til stort netværk af fuldmagter, der kan bruges i koordinerede angreb. Som et resultat af dette netværk analyse kan være vildledende for nogle administratorer.
Den første tilføjelse til VPNFILTER Trojan er den endpoint udnyttelse modul. Den er baseret på open source kode og dens primære funktion er at sende alle web-server trafik til en anden havn. Dette modul er også programmeret til at inspicere de HTTP-anmodninger og identificere potentielle Windows eksekverbare. Det formodes, at dette benytter en indbygget liste over mål apps. Hvis nogen af dem er stødt modulet vil hente og lappe dem på flue at omgå potentielle blokke.
For at udnytte en dybere infektion og tillade operatørerne større frihed en ny multifunktionel SSH værktøj gennemføres. Den kan scanne havnene i forskellige IP-adresser med henblik på at vurdere, om den trojanske kan inficere dem gennem en sårbar tjeneste. Dette vil også oprette en fjernbetjening server, det vil godkende med en offentlig nøgle i stedet for en typisk adgangskode. Den indsat forbindelse kan oprette forbindelse til en ekstern vært og udstede forskellige kommandoer. Når programmeret korrekt det kan kan starte en Servicenægtelse (DoS) nytte ved hjælp af simple argumenter.
De wide area netværk angreb kan koordineres bedre ved at aktivere netværk mapper. Det vil scanne eller alle åbne porte på netværket og forsøge at automatisk at oprette forbindelse til at åbne tjenester. Analysen afslører, at følgende porte probes:
9, 21, 22, 23, 25, 37, 42, 43, 53, 69, 70, 79, 80, 88, 103, 110, 115, 118, 123, 137, 138, 139, 143, 150, 156, 161, 190, 197, 389, 443, 445, 515, 546, 547, 569, 3306, 8080 og 8291.
Den er indbygget funktionalitet kan lokalisere Mikrotik enheder ved hjælp af Mikrotik Network Discovery Protocol (MNDP). Hvis enhederne er online, og reagere de vil vende tilbage den følgende data:Mac-adresse, systemet identitet, versionsnummer, platformtype, oppetid i sekunder, RouterOS software-id, RouterBoard model, og grænseflade navn fra opdagede enhed.
Portvideresendelse er en mekanisme, der misbruges af mange trojanske heste af sent. Når konfigureret korrekt det vil gøre det muligt for netværkstrafik at være rettet mod et mål infrastruktur. For en mere dødbringende angreb det kan kombineres med en SOCKS5 proxy. De inficerede værter vil være konfigureret til at etablere en proxy på dem. Dette kan bruges til at manipulere shapers, routere og andre netværksenheder.
Endelig en Reverse-TCP VPN serveren kan aktiveres på de inficerede værter. Komplekse netværkskonfigurationer og firewalls kan omgås ved hjælp af denne metode som virksomhedens netværk typisk er afhængige af sådanne foranstaltninger som led i deres sikkerhedspolitik.
Netværket Analysen viser, at efter de sidste par store angriber VPNFILTER trojanske har vist sig at gennemgå flere store opdateringer. Det er muligt, at de kriminelle planlægger en anden stor cyberangreb, og dette er årsagen til de betydelige opdateringer.
Martin Beltov
Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.
Følg mig: