VPNFILFERトロイの木馬は、その背後にある開発者によって、さらに危険な脅威となる新しいモジュールで更新されました。. 詳細なセキュリティ分析は、経験豊富なハッカーの手に渡ると、ネットワーク全体に重大な損害を与える可能性があることを示しています.
VPNFILTERトロイの木馬がもう一度更新されました, モジュールのさらに致命的な兵器庫があります
VPNFilterトロイの木馬は、最近のセキュリティアナリストによって観察された最も高度な脅威の1つです。. その最初の標的型攻撃は、世界中の何千ものネットワークデバイスを破壊することができました. レポートを作成したセキュリティチームは、更新されたバージョンがその機能を大幅に強化する追加の第3段階モジュールを追加すると述べています.
機能の追加は、ネットワークを活用し、VPNFILTERに感染したホストと同じネットワーク上に配置されているエンドポイントデバイスを悪用する機能です。. ハッカーは、ハッカーから感染したクライアントに戻るネットワークトラフィックを難読化して暗号化することができます。. 感染後、いくつかのユーザー識別ツールを使用できます, これは、オペレーターが個人情報の盗難やその他の犯罪を実行するのに役立ちます. もう1つの重要な新しい追加機能は、協調攻撃で使用できるプロキシの大規模なネットワークを作成する機能です。. この結果、ネットワーク分析は一部の管理者にとって誤解を招く可能性があります.
VPNFILTERトロイの木馬への最初の追加は エンドポイント活用モジュール. これはオープンソースコードに基づいており、その主な機能はすべてのWebサーバートラフィックを別のポートに転送することです。. このモジュールは、HTTP要求を検査し、潜在的なWindows実行可能ファイルを識別するようにもプログラムされています。. これは、ターゲットアプリの組み込みリストを使用していると推定されます. それらのいずれかが検出された場合、モジュールはそれらをダウンロードしてその場でパッチを適用し、潜在的なブロックをバイパスします.
より深い感染を活用し、オペレーターが新しい自由をより大きくできるようにするため 多機能SSHツール 実装されています. トロイの木馬が脆弱なサービスを介してそれらに感染できるかどうかを評価するために、さまざまなIPアドレスのポートをスキャンできます。. これにより、リモートコントロールサーバーもセットアップされます, 通常のパスワードの代わりに公開鍵で認証されます. デプロイされた接続は、リモートホストに接続して、さまざまなコマンドを発行できます. 適切にプログラムされている場合、それは起動することができます サービス拒否 (DoS) 単純な引数を使用するユーティリティ.
広域ネットワーク攻撃は、 ネットワークマッパー. ネットワーク上の開いているポートまたはすべての開いているポートをスキャンし、開いているサービスに自動的に接続しようとします. 分析により、次のポートがプローブされていることがわかります:
9, 21, 22, 23, 25, 37, 42, 43, 53, 69, 70, 79, 80, 88, 103, 110, 115, 118, 123, 137, 138, 139, 143, 150, 156, 161, 190, 197, 389, 443, 445, 515, 546, 547, 569, 3306, 8080 と 8291.
組み込みの機能により、MikroTikネットワーク探索プロトコルを使用してMikroTikデバイスを見つけることができます (MNDP). デバイスがオンラインで応答する場合、次のデータが返されます:Macアドレス, システムID, バージョンナンバー, プラットフォームタイプ, 秒単位の稼働時間, RouterOSソフトウェアID, RouterBoardモデル, 検出されたデバイスのインターフェイス名.
ポートフォワーディング 最近の多くのトロイの木馬によって悪用されているメカニズムです. 適切に構成すると、ネットワークトラフィックをターゲットインフラストラクチャに向けることができます. より致命的な攻撃のために、それはと組み合わせることができます SOCKS5プロキシ. 感染したホストは、それらにプロキシを確立するように構成されます. これは、シェイパーを操作するために使用できます, ルーターおよびその他のネットワークデバイス.
最後に リバースTCPVPN 感染したホストでサーバーを有効にすることができます. 企業ネットワークは通常、セキュリティポリシーの一部としてこのような対策に依存しているため、この方法を使用すると、複雑なネットワーク構成とファイアウォールをバイパスできます。.
ネットワーク分析によると、最後の数回の大規模な攻撃の後、VPNFILTERトロイの木馬はいくつかの主要な更新を受けることが示されています. 犯罪者が別の大規模なサイバー攻撃を計画している可能性があり、これが重要な更新の理由です.