Le VPNFILFER cheval de Troie a été mis à jour par les développeurs derrière avec de nouveaux modules qui en font une menace encore plus dangereuse. L'analyse de sécurité détaillée montre que, dans les mains des pirates expérimentés, il peut causer des dommages importants à des réseaux entiers.
VPNFILTER cheval de Troie Mise à jour Once Again, A maintenant un arsenal de modules encore plus mortelle
Le cheval de Troie VPNFilter est l'une des menaces les plus sophistiquées observées par les analystes de sécurité de fin. Ses premières attaques ciblées ont pu descendre des milliers de périphériques réseau dans le monde entier. L'équipe de sécurité qui a fait le rapport indique que la version mise à jour ajoute des modules supplémentaires troisième étage qui améliore fortement sa fonctionnalité.
Une addition fonctionnelle est la capacité à tirer parti des réseaux et d'exploiter des dispositifs finaux qui sont placés sur le même réseau que les hôtes infectés VPNFILTER-. Les pirates peuvent chiffrer et obscurcir le trafic réseau entrant de leur retour aux clients infectés. Plusieurs outils d'identification de l'utilisateur peuvent être utilisés après les infections, cela aidera les opérateurs à réaliser le vol d'identité et d'autres crimes. Une autre nouveauté importante est la possibilité de créer à grand réseau de procurations qui peuvent être utilisés dans des attaques coordonnées. A la suite de cette analyse du réseau peut être trompeur pour certains administrateurs.
Le premier ajout au VPNFILTER cheval de Troie est le Module d'exploitation point final. Il est basé sur le code open source et sa principale fonction est de transmettre tout le trafic du serveur Web vers un autre port. Ce module est également programmé pour inspecter les requêtes HTTP et identifier les exécutables potentiels de Windows. On suppose que celui-ci utilise une liste intégrée d'applications cibles. Si l'un d'entre eux sont rencontrés le module télécharger et les patcher à la volée pour contourner les blocs potentiels.
Pour tirer parti d'une infection plus profonde et permettre aux opérateurs une plus grande liberté une nouvelle Outil de SSH multi-fonctionnel est implémenté. Il peut scanner les ports de différentes adresses IP afin d'évaluer si le cheval de Troie peut les infecter ou non par un service vulnérable. Cela également mis en place un serveur de contrôle à distance, il authentifiera avec une clé publique au lieu d'un mot de passe typique. La connexion déployée peut se connecter à un hôte distant et d'émettre diverses commandes. Lorsqu'elle est programmée correctement, il peut peut lancer une déni de service (DoS) utilitaire en utilisant des arguments simples.
Les attaques de réseau étendus peuvent être mieux coordonnées en permettant la réseau mappeur. Il va scanner tous les ports ouverts ou sur le réseau et tenter de se connecter automatiquement à ouvrir les services. L'analyse révèle que les ports suivants sont sondées:
9, 21, 22, 23, 25, 37, 42, 43, 53, 69, 70, 79, 80, 88, 103, 110, 115, 118, 123, 137, 138, 139, 143, 150, 156, 161, 190, 197, 389, 443, 445, 515, 546, 547, 569, 3306, 8080 et 8291.
Il est une fonctionnalité intégrée permet de localiser les appareils Mikrotik utilisant le protocole de découverte du réseau MikroTik (MNDP). Si les appareils sont en ligne et d'y répondre, ils retournent les données suivantes:Adresse Mac, identité du système, numéro de version, type de plate-forme, temps de fonctionnement en quelques secondes, RouterOS logiciel ID, modèle RouterBoard, et le nom de l'interface de l'appareil découvert.
La redirection de port est un mécanisme qui est abusé par de nombreux chevaux de Troie de fin. Lorsqu'il est configuré correctement, il permettra le trafic réseau à être dirigé contre une infrastructure cible. Pour une attaque plus meurtrière, il peut être combiné avec un proxy SOCKS5. Les hôtes infectés seront configurés pour établir une procuration sur les. Cela peut être utilisé pour manipuler shapers, routeurs et autres périphériques réseau.
Enfin, un Reverse-TCP VPN serveur peut être activé sur les hôtes infectés. configurations de réseau complexes et les pare-feu peut être contournée en utilisant cette méthode comme les réseaux d'entreprise reposent généralement sur de telles mesures dans le cadre de leur politique de sécurité.
L'analyse du réseau montre que, après les dernières attaques à grande échelle a été démontré que le cheval de Troie VPNFILTER subir plusieurs mises à jour importantes. Il est possible que les criminels planifient une autre grande cyber-attaque, ce qui est la raison pour les mises à jour importantes.
Martin Beltov
Martin a obtenu un diplôme en édition de l'Université de Sofia. En tant que passionné de cyber-sécurité, il aime écrire sur les menaces les plus récentes et les mécanismes d'intrusion.
Suivez-moi: