Casa > Ciber Noticias > El troyano VPNFILTER se ha actualizado con nuevas funciones avanzadas
CYBER NOTICIAS

El VPNFILTER de Troya se ha actualizado con nuevas características avanzadas

El VPNFILFER de Troya ha sido actualizado por los desarrolladores detrás de él con nuevos módulos que hacen que sea una amenaza aún más peligrosa. El análisis detallado muestra que la seguridad en manos de los piratas informáticos con experiencia que puede causar un daño significativo a las redes enteras.




VPNFILTER Troya modernizado una vez más, Ahora tiene un arsenal aún más letal de los módulos

El VPNFilter de Troya es una de las amenazas más sofisticadas observadas por los analistas de seguridad en los últimos tiempos. Sus primeros ataques dirigidos fueron capaces de acabar con miles de dispositivos de red en todo el mundo. El equipo de seguridad que hizo el informe indica que la versión actualizada añade módulos tercera etapa adicionales que en gran medida mejora su funcionalidad.

Una adición funcional es la capacidad de aprovechar las redes y explotar dispositivos de punto final que se colocan en la misma red que hosts VPNFILTER infectados. Los hackers pueden ocultar y cifrar el tráfico de red que viene de nuevo a los clientes infectados. Varias herramientas de identificación de usuario pueden ser utilizados siguiendo las infecciones, Esto ayudará a los operadores para llevar a cabo el robo de identidad y otros delitos. Otra nueva adición importante es la capacidad de crear a gran red de servidores proxy que se puede utilizar en ataques coordinados. Como resultado de esto, el análisis de la red puede ser engañoso para algunos administradores.

Artículo relacionado: VPNFilter UNIX Troya - Cómo quitar y proteger su red

La primera adición a la VPNFILTER de Troya es la módulo de explotación de punto final. Se basa en el código de fuente abierta y su función principal es la de reenviar todo el tráfico del servidor web a otro puerto. Este módulo también está programado para inspeccionar las peticiones HTTP e identificar posibles ejecutables de Windows. Se presume que este utiliza una lista integrada de aplicaciones de destino. Si se encuentra alguna de ellas el módulo se descarga y el parche sobre la marcha para pasar por alto los bloques potenciales.

Para aprovechar una infección más profunda y permitir a los operadores una mayor libertad un nuevo SSH herramienta multifuncional está implementado. Puede escanear los puertos de diferentes direcciones IP con el fin de evaluar si o no el troyano puede infectar a través de un servicio vulnerable. Esto también configurar un servidor de control remoto, se autenticará con una clave pública en lugar de una contraseña típica. La conexión desplegado se puede conectar a un host remoto y emitir varios comandos. Cuando se programa adecuadamente puede puede poner en marcha una negación de servicio (DoS) utilidad con argumentos simples.

Los amplios ataques a la red de área se pueden coordinar mejor al permitir la mapeador de red. Se explorará o todos los puertos abiertos en la red y tratar de conectarse automáticamente a abrir los servicios. El análisis revela que los puertos siguientes se sondean:

9, 21, 22, 23, 25, 37, 42, 43, 53, 69, 70, 79, 80, 88, 103, 110, 115, 118, 123, 137, 138, 139, 143, 150, 156, 161, 190, 197, 389, 443, 445, 515, 546, 547, 569, 3306, 8080 y 8291.

Está construido en la funcionalidad de los dispositivos MikroTik puede localizar utilizando el Protocolo de Descubrimiento de red MikroTik (MNDP). Si los dispositivos están conectados y responden van a regresar los siguientes datos:Dirección MAC, identidad del sistema, número de versión, tipo de plataforma, el tiempo de actividad en cuestión de segundos, RouterOS Identificación de software, modelo RouterBoard, y nombre de la interfaz desde el dispositivo descubierto.

El reenvío de puertos es un mecanismo que se abusa por muchos troyanos en los últimos tiempos. Cuando se configura adecuadamente, va a permitir que el tráfico de red que se dirige contra una infraestructura de destino. Para un ataque más letal que se puede combinar con una SOCKS5. Los anfitriones infectados serán configurados para establecer un proxy en ellas. Esto puede ser usado para manipular moldeadores, routers y otros dispositivos de red.

Por último, un Reverse-TCP VPN servidor puede estar habilitado en los huéspedes infectados. configuraciones de red complejas y servidores de seguridad pueden ser anuladas mediante este método como redes corporativas normalmente se basan en este tipo de medidas como parte de su política de seguridad.

El análisis de redes muestra que después de los últimos ataques a gran escala del VPNFILTER de Troya se ha demostrado que someterse a varios cambios importantes. Es posible que los criminales están planeando otro importante ataque cibernético y esta es la razón de los cambios significativos.

Martin Beltov

Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.

Más Mensajes

Sígueme:
Gorjeo

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our política de privacidad.
Estoy de acuerdo