Il VPNFILFER Trojan è stato aggiornato dagli sviluppatori dietro di esso con nuovi moduli che lo rendono una minaccia ancora più pericolosa. L'analisi dettagliata della sicurezza mostra che nelle mani di hacker esperti può causare danni significativi alle reti intere.
VPNFILTER Trojan Aggiornato Once Again, Ora ha un arsenale ancora più letale di moduli
Il VPNFilter Trojan è una delle minacce più sofisticate osservati da analisti di sicurezza di ritardo. I suoi primi attacchi mirati sono stati in grado di abbattere migliaia di dispositivi di rete in tutto il mondo. Il team di sicurezza che ha fatto la relazione afferma che la versione aggiornata aggiunge moduli aggiuntivi di terze stadio che esalta fortemente la sua funzionalità.
Un'aggiunta funzionale è la possibilità di sfruttare le reti e sfruttare dispositivi endpoint che sono posti sulla stessa rete come host infettati VPNFILTER. Gli hacker possono offuscare e crittografare il traffico di rete proveniente da di nuovo ai clienti infetti. Diversi strumenti di identificazione dell'utente possono essere utilizzati seguendo le infezioni, questo aiuterà gli operatori ad effettuare il furto di identità e altri crimini. Un'altra significativa novità è la possibilità di creare a vasta rete di proxy che possono essere utilizzati in attacchi coordinati. Come conseguenza di questo l'analisi di rete può essere fuorviante per alcuni amministratori.
La prima aggiunta al VPNFILTER Trojan è il Modulo sfruttamento endpoint. Si basa su codice open-source e la sua funzione primaria è quella di inoltrare tutto il traffico web server a un'altra porta. Questo modulo è anche programmato per ispezionare le richieste HTTP e di identificare potenziali eseguibili Windows. Si presume che questo utilizza un elenco integrato di applicazioni di destinazione. Se si verificano uno di essi, il modulo scaricare e patchare al volo di bypassare eventuali blocchi.
Per sfruttare un'infezione più profonda e consentire agli operatori una maggiore libertà di una nuova strumento SSH multifunzionale è implementato. E 'possibile eseguire la scansione delle porte dei vari indirizzi IP al fine di valutare se o meno il Trojan li può infettare attraverso un servizio vulnerabile. Questo sarà anche impostare un server di controllo remoto, sarà l'autenticazione con una chiave pubblica, invece di una password tipico. Il collegamento distribuito può collegarsi a un host remoto ed emettere vari comandi. Quando è programmata correttamente può può lanciare un negazione del servizio (DoS) utility utilizzando semplici argomenti.
Le ampie attacchi di rete area possono essere coordinati meglio abilitando la mapper rete. Si esegue la scansione o tutte le porte aperte sulla rete e tentare di connettersi automaticamente ad aprire servizi. L'analisi rivela che le seguenti porte vengono sondati:
9, 21, 22, 23, 25, 37, 42, 43, 53, 69, 70, 79, 80, 88, 103, 110, 115, 118, 123, 137, 138, 139, 143, 150, 156, 161, 190, 197, 389, 443, 445, 515, 546, 547, 569, 3306, 8080 e 8291.
E 'costruito in funzionalità in grado di individuare i dispositivi che utilizzano il protocollo MikroTik MikroTik Network Discovery (MNDP). Se i dispositivi sono in linea e rispondere torneranno i seguenti dati:Indirizzo MAC, l'identità del sistema, numero della versione, tipo di piattaforma, uptime in pochi secondi, RouterOS ID Software, modello RouterBoard, e nome di interfaccia dal dispositivo rilevato.
Port forwarding è un meccanismo che viene abusato da molti Trojan di ritardo. Quando configurato correttamente permetterà al traffico di rete per essere diretto contro un bersaglio infrastrutture. Per un attacco più letale che può essere combinato con un proxy SOCKS5. I padroni di casa infettati saranno configurati in modo da stabilire un proxy su di loro. Questo può essere usato per manipolare shapers, router e altri dispositivi di rete.
finalmente un Reverse-TCP VPN server può essere abilitata sugli host infetti. configurazioni di rete complesse e firewall possono essere bypassati con questo metodo come reti aziendali in genere si basano su tali misure come parte della loro politica di sicurezza.
L'analisi di rete mostra che dopo gli ultimi attacchi su larga scala la VPNFILTER Trojan ha dimostrato di sottoporsi a diversi importanti aggiornamenti. E 'possibile che i criminali stanno progettando un altro grande attacco informatico e questa è la ragione per gli aggiornamenti importanti.
Martin Beltov
Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.
Seguimi: