forum.opennet.ru

Составление сообщения

Исходное сообщение

"Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."
Отправлено opennews, 15-Сен-15 22:42

Группа исследователей из специализирующейся на компьютерной безопасности компании FireEye выявила (https://www.fireeye.com/blog/threat-research/2015/09/synful_...) новую вредоносную активность, связанную со скрытой модификации прошивок маршрутизаторов Cisco с внедрением бэкдора, позволяющего контролировать проходящий через маршрутизатор транзитный трафик и использовать маршрутизатор как точку для проведения атак на внутреннюю сеть. В результате исследования в Сети выявлено 14 поражённых маршрутизаторов, территориально находящихся в Индии, Мексике, Филиппинах и Украине.

Известно, что атака производится как минимум на модели Cisco 1841, 2811 и 3825. Для данных моделей атакующими был подготовлен вариант прошивки, содержащий скрытый бэкдор, в обычных условиях никак себя не проявляющий и активируемый при выявления в трафике специально оформленных управляющих пакетов, что существенно затрудняет выявление атакованных устройств. Как правило, для выявления бэкдора требуется анализ дампа прошивки (http://blogs.cisco.com/security/offline-analysis-of-ios-imag...). В качестве наиболее вероятного способа проникновения на маршрутизатор называется подбор типовых паролей или перехват параметров доступа в результате проведения других атак.

Бэкдор обладает достаточно широкими возможностями, в том числе позволяет загружать модули, расширяющие его функциональность и позволяющие применять различные виды атак. Для активации модуля на
80 сетевой порт (HTTP) маршрутизатора отправляется специально оформленный TCP SYN-пакет. Модули могут представлять собой как независимые исполняемые блоки кода, так и обработчики различной функциональности Cisco IOS. Например, через подобный модуль реализована возможность входа на маршрутизатор по протоколу telnet с предопределённым злоумышленниками паролем.

Бэкдор размещается с внесением изменений в прошивку, что позволяет сохранить его работоспособность после перезагрузки.

URL: https://www.fireeye.com/blog/threat-research/2015/09/synful_...
Новость: https://www.opennet.ru/opennews/art.shtml?num=42969

Исходное сообщение
"Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..." Отправлено opennews, 15-Сен-15 22:42
Группа исследователей из специализирующейся на компьютерной безопасности компании FireEye выявила (https://www.fireeye.com/blog/threat-research/2015/09/synful_...) новую вредоносную активность, связанную со скрытой модификации прошивок маршрутизаторов Cisco с внедрением бэкдора, позволяющего контролировать проходящий через маршрутизатор транзитный трафик и использовать маршрутизатор как точку для проведения атак на внутреннюю сеть. В результате исследования в Сети выявлено 14 поражённых маршрутизаторов, территориально находящихся в Индии, Мексике, Филиппинах и Украине. Известно, что атака производится как минимум на модели Cisco 1841, 2811 и 3825. Для данных моделей атакующими был подготовлен вариант прошивки, содержащий скрытый бэкдор, в обычных условиях никак себя не проявляющий и активируемый при выявления в трафике специально оформленных управляющих пакетов, что существенно затрудняет выявление атакованных устройств. Как правило, для выявления бэкдора требуется анализ дампа прошивки (http://blogs.cisco.com/security/offline-analysis-of-ios-imag...). В качестве наиболее вероятного способа проникновения на маршрутизатор называется подбор типовых паролей или перехват параметров доступа в результате проведения других атак. Бэкдор обладает достаточно широкими возможностями, в том числе позволяет загружать модули, расширяющие его функциональность и позволяющие применять различные виды атак. Для активации модуля на 80 сетевой порт (HTTP) маршрутизатора отправляется специально оформленный TCP SYN-пакет. Модули могут представлять собой как независимые исполняемые блоки кода, так и обработчики различной функциональности Cisco IOS. Например, через подобный модуль реализована возможность входа на маршрутизатор по протоколу telnet с предопределённым злоумышленниками паролем. Бэкдор размещается с внесением изменений в прошивку, что позволяет сохранить его работоспособность после перезагрузки. URL: https://www.fireeye.com/blog/threat-research/2015/09/synful_... Новость: https://www.opennet.ru/opennews/art.shtml?num=42969

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Группа исследователей из специализирующейся на компьютерной безопасности компании FireEye 
> выявила (https://www.fireeye.com/blog/threat-research/2015/09/synful_knock_-_acis.html) 
> новую вредоносную активность, связанную со скрытой модификации прошивок маршрутизаторов 
> Cisco с внедрением бэкдора, позволяющего контролировать проходящий через маршрутизатор 
> транзитный трафик и использовать маршрутизатор как точку для проведения атак на 
> внутреннюю сеть. В результате исследования в Сети выявлено 14 поражённых  
> маршрутизаторов, территориально находящихся в Индии, Мексике, Филиппинах и Украине.

> Известно, что атака производится как минимум на модели Cisco 1841, 2811 и 
> 3825. Для данных моделей атакующими был подготовлен вариант прошивки, содержащий скрытый 
> бэкдор, в обычных условиях никак себя не проявляющий и активируемый при 
> выявления в трафике специально оформленных управляющих пакетов, что существенно затрудняет 
> выявление атакованных устройств. Как правило, для выявления бэкдора требуется анализ дампа 
> прошивки (http://blogs.cisco.com/security/offline-analysis-of-ios-image-integrity). 
> В качестве наиболее вероятного способа проникновения на маршрутизатор называется подбор 
> типовых паролей или перехват параметров доступа в результате проведения других атак.

> Бэкдор обладает достаточно широкими возможностями, в том числе позволяет загружать модули, 
> расширяющие его функциональность и позволяющие применять различные виды атак. Для активации 
> модуля на 
> 80 сетевой порт (HTTP) маршрутизатора отправляется специально оформленный TCP SYN-пакет. 
> Модули могут представлять собой как независимые исполняемые блоки кода, так и 
> обработчики различной функциональности Cisco IOS. Например, через подобный модуль реализована 
> возможность входа на маршрутизатор по протоколу telnet с предопределённым злоумышленниками 
> паролем.

> Бэкдор размещается с внесением изменений в прошивку, что позволяет сохранить его работоспособность 
> после перезагрузки.

> URL: https://www.fireeye.com/blog/threat-research/2015/09/synful_knock_-_acis.html 
 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=42969

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру