Es wurde festgestellt, dass eine sehr erfahrene Hacking-Gruppe mithilfe einer Malware namens Asnarok-Trojaner in Netzwerke und Firewalls eindringt, auch bekannt als Asnarök.
Dies ist ein kürzlich koordinierter Angriff, der als äußerst zerstörerisch eingestuft wurde. Es wurden große Anstrengungen unternommen, um die Fähigkeiten und Schäden des Trojaners in den Opfernetzwerken zu analysieren.
Die Asnarok-Trojaner-Angriffe: die Erstinfektion
Letzte Woche wurden mehrere wirkungsvolle Angriffe gegen die Netzwerkinfrastruktur und Firewalls durchgeführt, die sie vor verschiedenen Geschäftsinhabern schützen. Die Untersuchung zeigt, dass die ursprüngliche Infektionsquelle durch eine unbekannter SQL-Injection-Fehler. Das Ergebnis eines erfolgreichen Exploits ist der Start eines Angriffs auf die Firewall, die das Zielnetzwerk schützt.
Diese Taktik gibt zwei sehr wichtige Annahmen wieder, die sich auf die Hacker beziehen, die hinter der Trojaner-Operation stehen. Das erste ist, dass das Ziel wahrscheinlich von der kriminellen Gruppe gut recherchiert wird — Es scheint, dass die Hacker einen gefährlichen Fehler entdeckt haben, den sie ausnutzen können. Um es auszuführen, müssen sie prüfen, ob das System alle Anforderungen erfüllt: Ein Datenbankserver mit der erforderlichen Softwareversion und eine angeschlossene Firewall, die ausgenutzt werden kann. All dies kann entweder durch Starten manueller Scans oder durch Verwendung eines komplizierten Hacking-Toolkits erfolgen, das mit den erforderlichen Variablen und Optionen geladen ist. Es ist auch möglich, dass all dies vom Asnarok-Trojaner selbst erledigt wird.
Die Analyse der Trojaner-Operationen zeigt, dass die SQL-Injection tatsächlich ein einzeiliger Code ist, der in einer der vorhandenen Datenbanken abgelegt wird. Dadurch kann der Datenbankserer eine Datei von einem von Hackern kontrollierten Server abrufen, der auf einem Domänennamen gehostet wird, der für Administratoren sehr sicher und legitim klingt, da er sich als Firewall-Anbieter ausgibt. Die Datei ist die eigentliche Nutzlast-Pipette, die für die Installation und den Betrieb des Trojaners verantwortlich ist. Die Datei wird in einem temporären Ordner abgelegt, in dem Dateien gespeichert werden, die nicht immer vom System verwendet werden, geändert, um von Benutzern und Prozessen ausführbar zu sein und es zu starten.
Asnarok-Trojaner entfesselt: Auswirkungen auf die Systeme
Sobald das Installationsskript auf den kontaminierten Computern ausgelöst wird, besteht die erste Aktion darin, eine Reihe von SQL-Befehlen auszuführen. Sie dienen zum Ändern oder Löschen bestimmter in Datenbanktabellen gespeicherter Werte, Eine davon ist die Anzeige der administrativen IP-Adresse des kontaminierten Geräts. Laut den Forschern geschieht dies, um das Vorhandensein der Infiltration zu verbergen.
Das Payload-Installationsskript startet dann zwei weitere separate Skripte, die aus demselben temporären Ordner heruntergeladen und ausgeführt werden. Ihre Aktionen bestehen darin, die Konfiguration der bereitgestellten Firewalls zu ändern, Startzeitdienste und andere laufende Anwendungen. Ein zusätzlicher Mechanismus, der vom Motor angetrieben wird, ist der persistent Installation aller Malware-Code. Bei jedem Start des Geräts werden die Skripte gestartet. Einige der normalerweise ausgeführten Anwendungen und Dienste werden möglicherweise gestoppt oder geändert. Eines der Skripte wird Stellen Sie die Trojaner-Verbindung her Dadurch wird der entführte Computer mit einem Remote-Server verbunden, von dem ein Programm heruntergeladen wird. Dadurch wird eine Malware-Firewall ausgeführt, die die standardmäßig ausgeführte Software ersetzt.
Die Folgen der Trojaner-Aktionen sind: Datendiebstahl Dies kann Datenbankinhalte und Maschinensystemdaten enthalten. Die gesammelten Informationen können verwendet werden, um eine eindeutige ID zu erstellen, die auf den extrahierten Daten basiert. Die vollständige Analyse des Asnarok-Trojaners scheint die folgenden Daten zu entführen: öffentliche IP-Adresse, Firewall-Lizenzschlüssel, Informationen zum SQL-Benutzerkonto, Administratorkennwörter, VPN-Benutzer und -Richtlinien. Die gesammelten Daten werden mit der Datei archiviert Befehl tar und dann mit verschlüsselt OpenSSL. Die resultierende Datei wird über die Trojaner-Netzwerkverbindung an die Hacker gesendet.
Kurz nach der ersten Infektion hat der Anbieter einen Patch für alle anfälligen Geräte veröffentlicht. Automatische Updates für Firewalls sollten aktiviert sein, damit die Datei aus dem Unternehmen abgerufen und automatisch angewendet wird. Für weitere Informationen, beziehen sich auf die Erstmeldung.
Martin Beltov
Martin hat einen Abschluss in Publishing von der Universität Sofia. er schreibt gerne über die neuesten Bedrohungen und Mechanismen des Eindringens Als Cyber-Security-Enthusiasten.
Folge mir: