18.03.2018, 19:54
Jak donosi Kaspersky, zaawansowany atak trwający od 2012 roku aż do teraz zainfekował około 100 ofiar w celu szpiegowania, a cała akcja opierała się na błędach w systemach Windows i RouterOS, czyli systemu dla routerów od MikroTik. Atak przeprowadzony przez bardzo zaawansowaną grupę na wąskie grono ofiar, więc prawdopodobnie przez organizacje rządową.
W skrócie, jak przebiegał atak?
- Przestępcy infekowali RouterOs na sprzęcie ofiary.
- Ofiara podłącza się do routera przez narzędzie WinBox.
- Winbox pobiera podmienioną DLLkę na komputer ofiary i uruchamia.
- Szkodliwa DLLka pobiera kolejny malware i uruchamia.
- Malware Lokuje się w systemie wykorzystując podatności w Windowsie.
- Malware szpieguje zainfekowanego użytkownika.
Mikrotik Załatał dziury, Winbox już nie pobiera DLLek na system ofiary.
Winboxa można przetestować, ściągając i logując się do serwera demo, IP 159.148.147.211, login admin, brak hasła.
Oryginalny artykuł tutaj:
A teraz ciekawostki ode mnie:
Wciąż nie wiadomo, jak pierwotnie zainfekowano MikroTiki, a przynajmniej ja nie mogę się tego doczytać. Albo błąd w konfiguracji urządzenia (ktoś zostawił otwarty Telnet?), albo jakiś wciąż niezałatany exploit na Mikusie wciąż może wisieć
Kaspersky wspomina, że 'Malicious Library is loaded by a process with SYSTEM privileges' - A na ile jestem w stanie teraz ocenić, Winbox hula z uprawnieniami użytkownika. Więc albo ja coś źle robię i nie rozumiem, albo to działało zupełnie inaczej w 2012, albo zainfekowani użytkownicy śmigali na systemie z uprawnieniami Admina i ubitym UAC
W skrócie, jak przebiegał atak?
- Przestępcy infekowali RouterOs na sprzęcie ofiary.
- Ofiara podłącza się do routera przez narzędzie WinBox.
- Winbox pobiera podmienioną DLLkę na komputer ofiary i uruchamia.
- Szkodliwa DLLka pobiera kolejny malware i uruchamia.
- Malware Lokuje się w systemie wykorzystując podatności w Windowsie.
- Malware szpieguje zainfekowanego użytkownika.
Mikrotik Załatał dziury, Winbox już nie pobiera DLLek na system ofiary.
Winboxa można przetestować, ściągając i logując się do serwera demo, IP 159.148.147.211, login admin, brak hasła.
Oryginalny artykuł tutaj:
[Aby zobaczyć linki, zarejestruj się tutaj]
A teraz ciekawostki ode mnie:
Wciąż nie wiadomo, jak pierwotnie zainfekowano MikroTiki, a przynajmniej ja nie mogę się tego doczytać. Albo błąd w konfiguracji urządzenia (ktoś zostawił otwarty Telnet?), albo jakiś wciąż niezałatany exploit na Mikusie wciąż może wisieć
Kaspersky wspomina, że 'Malicious Library is loaded by a process with SYSTEM privileges' - A na ile jestem w stanie teraz ocenić, Winbox hula z uprawnieniami użytkownika. Więc albo ja coś źle robię i nie rozumiem, albo to działało zupełnie inaczej w 2012, albo zainfekowani użytkownicy śmigali na systemie z uprawnieniami Admina i ubitym UAC
Człowiek, któremu zazdroszczą najlepszych pomysłów na sygnatury...