Casa > cibernético Notícias > Cavalo de Troia Asnarok personalizado tem como alvo os firewalls em ataques altamente destrutivos
CYBER NEWS

Trojan Asnarok personalizado segmenta firewalls em ataques altamente destrutivos

Foi detectado um grupo de hackers muito experiente que invadiu redes e firewalls usando um malware chamado Trojan Asnarok, também conhecido como Asnarök.

Este é um ataque coordenado muito recente, marcado como altamente destrutivo. Foi feito um grande esforço para analisar as capacidades e os danos do cavalo de Troia nas redes de vítimas.




Os ataques do Trojan Asnarok: a infecção inicial

Na semana passada, vários ataques de alto impacto foram feitos contra a infraestrutura de rede e firewalls, protegendo-os de vários proprietários de empresas. A investigação mostra que a fonte inicial de infecções parece ser causada por um bug de injeção SQL desconhecido. O resultado de uma exploração bem-sucedida é o lançamento de um ataque ao firewall que protege a rede de destino.

Essa tática fornece duas suposições muito importantes relacionadas aos hackers por trás da operação de Trojan. A primeira é que o alvo provavelmente é bem pesquisado pelo grupo criminoso — parece que os hackers descobriram um bug perigoso que aprenderam a explorar. Para executá-lo, será necessário verificar se o sistema possui todos os requisitos: um servidor de banco de dados executando a versão de software necessária e um firewall conectado que pode ser explorado. Tudo isso pode ser feito iniciando verificações manuais ou usando kits de ferramentas de hackers complicados carregados com as variáveis ​​e opções necessárias. Também é possível que tudo isso seja feito pelo próprio Trojan Asnarok.

A análise das operações de Trojan mostra que a injeção de SQL é realmente um código de uma linha que é colocado em um dos bancos de dados existentes. Isso fará com que o seridor de banco de dados recupere um arquivo de um servidor controlado por hackers, hospedado em um nome de domínio que parece muito seguro e legítimo para os administradores, pois representa um fornecedor de firewall. O arquivo é o conta-gotas real, responsável pela instalação e operação do Trojan. O arquivo é descartado em uma pasta temporária projetada para armazenar arquivos que nem sempre são usados ​​pelo sistema, modificado para ser executável por usuários e processos e iniciá-lo.

relacionado: [wplinkpreview url =”https://sensorstechforum.com/cve-2018-15715-hijack-zoom-conference-sessions/”]CVE-2018-15715: Hackers podem roubar Zoom Conferência Sessões

Trojan Asnarok desencadeado: Impacto nos sistemas

Assim que o script de instalação for acionado nos computadores contaminados, a primeira ação será executar uma série de comandos SQL. Eles são projetados para modificar ou excluir certos valores armazenados nas tabelas do banco de dados, um deles é a exibição do endereço IP administrativo do dispositivo contaminado. Segundo os pesquisadores, isso é feito para ocultar a presença da infiltração.

O script do instalador da carga útil iniciará outros dois scripts separados que serão baixados e executados da mesma pasta temporária. Suas ações serão modificar a configuração dos firewalls implantados, serviços de tempo de inicialização e outros aplicativos em execução. Um mecanismo adicional que é executado pelo mecanismo é o instalação persistente de todo o código de malware. Sempre que o dispositivo é iniciado, os scripts são iniciados. Alguns aplicativos e serviços comuns em execução podem ser interrompidos ou modificados. Um dos scripts será estabelecer a conexão Trojan que conectará a máquina seqüestrada a um servidor remoto de onde um programa será baixado. Isso executará um firewall de malware que substituirá o software em execução padrão.

As conseqüências das ações do Trojan incluem roubo de dados que pode incluir conteúdo do banco de dados e dados do sistema da máquina. As informações coletadas podem ser usadas para criar um ID exclusivo, com base nos dados extraídos. A análise completa do Trojan Asnarok parece seqüestrar os seguintes dados: endereço IP público, chave de licença do firewall, Informações da conta de usuário SQL, senhas de administrador, Usuários e políticas de VPN. Os dados coletados serão arquivados usando o comando tar e depois criptografado usando OpenSSL. O arquivo resultante será enviado aos hackers através da conexão de rede Trojan.

Logo após a infecção inicial, o fornecedor lançou um patch para todos os dispositivos vulneráveis. As atualizações automáticas dos firewalls devem ser ativadas para que o arquivo seja recuperado da empresa e aplicado automaticamente. Para mais informações, referem-se ao relatório inicial.

Martin Beltov

Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

Este site utiliza cookies para melhorar a experiência do usuário. Ao utilizar o nosso site você concorda com todos os cookies de acordo com o nosso Política de Privacidade.
Concordo