ESET ποια router επηρεάζονται από το Win32/Sality DNS changer
TrelosTwnFm-News :: ΕΙΔΗΣΕΙΣ :: ΙΝΤΕΡΝΕΤ
Σελίδα 1 από 1
ESET ποια router επηρεάζονται από το Win32/Sality DNS changer
Η εταιρεία ασφαλείας ESET δημοσίευσε στο blog της νέα στοιχεία και χαρακτηριστικά για το Win32/Sality DNS changer.
Το Win32/Sality είναι μια οικογένεια malware που χρησιμοποιείται από ένα peer-to-peer botnet, τουλάχιστον από το 2003. Πρόκειται για ένα file infector και ένα trojan downloader, που κατά κύριο λόγο χρησιμοποιείται για την αποστολή spam, αν και έχει χρησιμοποιηθεί για διάφορους σκοπούς, όπως τη μίμηση της κυκλοφορίας δικτύων διαφήμισης, επιθέσεις distributed denial of service ή cracking σε λογαριασμούς VoIP. Όλες οι εντολές και τα αρχεία που ανταλλάσσονται μέσω του δικτύου Sality P2P είναι ψηφιακά υπογεγραμμένα. Η αρχιτεκτονική του, καθώς και η μακροζωία του botnet δείχνει ότι έχει σχεδιαστεί και προγραμματιστεί άψογα.
Η ESET παρακολουθεί το δίκτυο Win32/Sality για αρκετό καιρό και έχει καταγράψει περισσότερες από 115000 διευθύνσεις IP που χρησιμοποιούν τα λεγόμενα «super peers», για να κρατούν ζωντανό το botnet. Το botnet με αυτό τον τρόπο μεταδίδει τις εντολές τους σε τακτικούς ομότιμους aka peers.
Η εταιρεία ασφαλείας, παρακολουθεί και καταγράφει την συμπεριφορά του δικτύου αρκετό καιρό τώρα. Τον τελευταίο καιρό, οι ερευνητές ανακάλυψαν κάποια νέα χαρακτηριστικά του: απέκτησε την ικανότητα να αλλάζει την κύρια διεύθυνση DNS των router, κάτι το οποίο είναι πολύ διαφορετικό από το μια συνηθισμένη κλοπή κωδικού πρόσβασης FTP ή την λειτουργία ενός spambot που γνωρίζαμε από το Win32/Sality. Σύμφωνα με τα στοιχεία της τηλεμετρίας της ESET, το νέο χαρακτηριστικό εμφανίστηκε για πρώτη φορά στο τέλος του Οκτωβρίου 2013. Τότε αναφέρθηκε για πρώτη φορά από την Dr. Web, η οποία δημοσίευσε μια τεχνική ανάλυση ενός χαρακτηριστικού, το σαρωτή διευθύνσεων IP. Το ονόμασαν Win32/RBrute.
Ο νέος στόχος: η αλλαγή του πρωτεύοντος DNS ενός δρομολογητή
Αυτό το χαρακτηριστικό προσθέτει μια νέα διάσταση στη λειτουργία του Win32/Sality. Η πρώτη συνιστώσα, που ανιχνεύεται από την ESET σαν Win32/RBrute.A, σαρώνει το Διαδίκτυο για τις σελίδες διαχείρισης των routers για να αλλάξει την καταχώρηση του κύριου διακομιστή DNS. Οι διακομιστές DNS που προσθέτει το malware ανακατευθύνον τους χρήστες σε μια πλαστή σελίδα εγκατάστασης του Google Chrome κάθε φορά που προσπαθούν να ανοίξουν σελιδες που το url περιέχει τις λέξεις «google» ή «Facebook». Το binary που διανέμεται μέσω αυτής της σελίδας εγκατάστασης είναι στην πραγματικότητα το Win32/Sality, παρέχοντας έτσι έναν τρόπο στους ιδιοκτήτες του botnet Sality να αυξήσουν περαιτέρω το μέγεθος του αριθμού των θυμάτων τους με τα μολυσμένα routers.
Η διεύθυνση IP που χρησιμοποιείται ως πρωτεύον DNS στο router του θύματος αποτελεί μέρος του δικτύου Win32/Sality. Στην πραγματικότητα, το Win32/Sality εγκαθιστά ένα άλλο κακόβουλο λογισμικό, που ανιχνεύεται από την ESET σαν Win32/RBrute.B. Το Win32/RBrute.B λειτουργεί διακομιστής μεσολάβησης DNS ή HTTP για να παραδώσει το ψεύτικο πρόγραμμα εγκατάστασης του Google Chrome.
η επιχείρηση
Η ESET δημοσίευσε μια λίστα με τα routers που είναι ευπαθή στο Win32/RBrute.A malware:
Cisco routers matching “level_15_” in the HTTP realm attribute
D-Link DSL-2520U
D-Link DSL-2542B
D-Link DSL-2600U
Huawei EchoLife
TP-LINK
TP-Link TD-8816
TP-Link TD-8817
TP-Link TD-8817 2.0
TP-Link TD-8840T
TP-Link TD-8840T 2.0
TP-Link TD-W8101G
TP-Link TD-W8151N
TP-Link TD-W8901G
TP-Link TD-W8901G 3.0
TP-Link TD-W8901GB
TP-Link TD-W8951ND
TP-Link TD-W8961ND
TP-Link TD-W8961ND
ZTE ZXDSL 831CII
ZTE ZXV10 W300
Όταν το κακόβουλο λογισμικό ανακαλύψει την ιστοσελίδα διαχείρισης του router, το κέντρο διοίκησης και ελέγχου (C&C) στέλνει μια μικρή λίστα από περίπου δέκα κωδικούς πρόσβασης στο bot και του αναθέτει να εκτελέσει μια επίθεση brute force, για να ανακαλύψει τον κωδικό του router. Όταν το bot καταφέρει να συνδεθεί, αλλάζει αμέσως τις ρυθμίσεις του κύριου διακομιστή DNS του router. Μόλις το κάνει, όλα τα ερωτήματα DNS που κάνουν οι χρήστες περνάνε από το «πειραγμένο» διακομιστή DNS, ο οποίος τους ανακατευθύνει σε μια ψεύτικη σελίδα εγκατάστασης του Chrome.
Αν σας ενδιαφέρει η τεχνική ανάλυση Win32/Sality DNS changer μπορείτε να την βρείτε στην ιστοσελίδα της => ESET
*iguru.gr
Το Win32/Sality είναι μια οικογένεια malware που χρησιμοποιείται από ένα peer-to-peer botnet, τουλάχιστον από το 2003. Πρόκειται για ένα file infector και ένα trojan downloader, που κατά κύριο λόγο χρησιμοποιείται για την αποστολή spam, αν και έχει χρησιμοποιηθεί για διάφορους σκοπούς, όπως τη μίμηση της κυκλοφορίας δικτύων διαφήμισης, επιθέσεις distributed denial of service ή cracking σε λογαριασμούς VoIP. Όλες οι εντολές και τα αρχεία που ανταλλάσσονται μέσω του δικτύου Sality P2P είναι ψηφιακά υπογεγραμμένα. Η αρχιτεκτονική του, καθώς και η μακροζωία του botnet δείχνει ότι έχει σχεδιαστεί και προγραμματιστεί άψογα.
Η ESET παρακολουθεί το δίκτυο Win32/Sality για αρκετό καιρό και έχει καταγράψει περισσότερες από 115000 διευθύνσεις IP που χρησιμοποιούν τα λεγόμενα «super peers», για να κρατούν ζωντανό το botnet. Το botnet με αυτό τον τρόπο μεταδίδει τις εντολές τους σε τακτικούς ομότιμους aka peers.
Η εταιρεία ασφαλείας, παρακολουθεί και καταγράφει την συμπεριφορά του δικτύου αρκετό καιρό τώρα. Τον τελευταίο καιρό, οι ερευνητές ανακάλυψαν κάποια νέα χαρακτηριστικά του: απέκτησε την ικανότητα να αλλάζει την κύρια διεύθυνση DNS των router, κάτι το οποίο είναι πολύ διαφορετικό από το μια συνηθισμένη κλοπή κωδικού πρόσβασης FTP ή την λειτουργία ενός spambot που γνωρίζαμε από το Win32/Sality. Σύμφωνα με τα στοιχεία της τηλεμετρίας της ESET, το νέο χαρακτηριστικό εμφανίστηκε για πρώτη φορά στο τέλος του Οκτωβρίου 2013. Τότε αναφέρθηκε για πρώτη φορά από την Dr. Web, η οποία δημοσίευσε μια τεχνική ανάλυση ενός χαρακτηριστικού, το σαρωτή διευθύνσεων IP. Το ονόμασαν Win32/RBrute.
Ο νέος στόχος: η αλλαγή του πρωτεύοντος DNS ενός δρομολογητή
Αυτό το χαρακτηριστικό προσθέτει μια νέα διάσταση στη λειτουργία του Win32/Sality. Η πρώτη συνιστώσα, που ανιχνεύεται από την ESET σαν Win32/RBrute.A, σαρώνει το Διαδίκτυο για τις σελίδες διαχείρισης των routers για να αλλάξει την καταχώρηση του κύριου διακομιστή DNS. Οι διακομιστές DNS που προσθέτει το malware ανακατευθύνον τους χρήστες σε μια πλαστή σελίδα εγκατάστασης του Google Chrome κάθε φορά που προσπαθούν να ανοίξουν σελιδες που το url περιέχει τις λέξεις «google» ή «Facebook». Το binary που διανέμεται μέσω αυτής της σελίδας εγκατάστασης είναι στην πραγματικότητα το Win32/Sality, παρέχοντας έτσι έναν τρόπο στους ιδιοκτήτες του botnet Sality να αυξήσουν περαιτέρω το μέγεθος του αριθμού των θυμάτων τους με τα μολυσμένα routers.
Η διεύθυνση IP που χρησιμοποιείται ως πρωτεύον DNS στο router του θύματος αποτελεί μέρος του δικτύου Win32/Sality. Στην πραγματικότητα, το Win32/Sality εγκαθιστά ένα άλλο κακόβουλο λογισμικό, που ανιχνεύεται από την ESET σαν Win32/RBrute.B. Το Win32/RBrute.B λειτουργεί διακομιστής μεσολάβησης DNS ή HTTP για να παραδώσει το ψεύτικο πρόγραμμα εγκατάστασης του Google Chrome.
η επιχείρηση
Η ESET δημοσίευσε μια λίστα με τα routers που είναι ευπαθή στο Win32/RBrute.A malware:
Cisco routers matching “level_15_” in the HTTP realm attribute
D-Link DSL-2520U
D-Link DSL-2542B
D-Link DSL-2600U
Huawei EchoLife
TP-LINK
TP-Link TD-8816
TP-Link TD-8817
TP-Link TD-8817 2.0
TP-Link TD-8840T
TP-Link TD-8840T 2.0
TP-Link TD-W8101G
TP-Link TD-W8151N
TP-Link TD-W8901G
TP-Link TD-W8901G 3.0
TP-Link TD-W8901GB
TP-Link TD-W8951ND
TP-Link TD-W8961ND
TP-Link TD-W8961ND
ZTE ZXDSL 831CII
ZTE ZXV10 W300
Όταν το κακόβουλο λογισμικό ανακαλύψει την ιστοσελίδα διαχείρισης του router, το κέντρο διοίκησης και ελέγχου (C&C) στέλνει μια μικρή λίστα από περίπου δέκα κωδικούς πρόσβασης στο bot και του αναθέτει να εκτελέσει μια επίθεση brute force, για να ανακαλύψει τον κωδικό του router. Όταν το bot καταφέρει να συνδεθεί, αλλάζει αμέσως τις ρυθμίσεις του κύριου διακομιστή DNS του router. Μόλις το κάνει, όλα τα ερωτήματα DNS που κάνουν οι χρήστες περνάνε από το «πειραγμένο» διακομιστή DNS, ο οποίος τους ανακατευθύνει σε μια ψεύτικη σελίδα εγκατάστασης του Chrome.
Αν σας ενδιαφέρει η τεχνική ανάλυση Win32/Sality DNS changer μπορείτε να την βρείτε στην ιστοσελίδα της => ESET
*iguru.gr
Παρόμοια θέματα
» Από ποια ηλικία μπορεί να αρχίσει τη γυμναστική και ποια;
» Οι πτήσεις που επηρεάζονται από τις στάσεις εργασίας
» Ποιά ΑΕΙ και ΤΕΙ συγχωνεύνται, ποιά καταργούνται
» Κυκλοφορεί τώρα: Facebook Color Changer
» Έξι τρόποι να ασφαλίσετε το router σας
» Οι πτήσεις που επηρεάζονται από τις στάσεις εργασίας
» Ποιά ΑΕΙ και ΤΕΙ συγχωνεύνται, ποιά καταργούνται
» Κυκλοφορεί τώρα: Facebook Color Changer
» Έξι τρόποι να ασφαλίσετε το router σας
TrelosTwnFm-News :: ΕΙΔΗΣΕΙΣ :: ΙΝΤΕΡΝΕΤ
Σελίδα 1 από 1
Δικαιώματα σας στην κατηγορία αυτή
Δεν μπορείτε να απαντήσετε στα Θέματα αυτής της Δ.Συζήτησης
Τετ 2 Αυγ - 11:19 από briskyten
» Ο ΤΡΕΛΛΟΣ ΤΩΝ FM παντρεύεται !
Τετ 3 Μάης - 9:11 από vidhayakji79
» Το FIFA World έρχεται στο PC
Πεμ 27 Απρ - 12:42 από sneakyforetell
» Τα UK charts της εβδομάδας
Τετ 26 Απρ - 5:33 από sneakyforetell
» Trailer για το νέο Need for Speed
Τετ 26 Απρ - 5:31 από sneakyforetell
» Εκλογές 2023 : Πόσες ημέρες άδειας δικαιούνται οι εργαζόμενοι
Δευ 24 Απρ - 17:20 από georgeharrison
» Συνελήφθη γυναίκα σε χωριό του Αγρινίου – Φέρεται να απείλησε νεαρό με κυνηγετικό όπλο
Δευ 24 Απρ - 15:44 από georgeharrison
» J2US: Ο Πασχάλης Τερζής έκανε την μεγάλη έκπληξη – «Έσπασαν» Εύη Δρούτσα και Δέσποινα Βανδή
Δευ 24 Απρ - 15:42 από georgeharrison
» Λευκές ελιές: Μια σπάνια ποικιλία ελιάς με καταγωγή από τα αρχαία χρόνια
Δευ 24 Απρ - 15:41 από georgeharrison
» Ο άγνωστος ιαματικός πλούτος της Ελλάδας.Οι 90 Ιαματικές Πηγές,9 στην Αιτωλοακαρνανία
Δευ 24 Απρ - 15:33 από georgeharrison
» Λαμία: Έκκληση για αίμα 0 ρέζους αρνητικό
Τετ 22 Φεβ - 10:47 από chotabhai807
» Βραβεύθηκαν Λουξ και Καλλιμάνης από την Ελληνική Ακαδημία Μάρκετινγκ
Παρ 16 Δεκ - 15:00 από faxedasto
» Συλλέγουν πλαστικά καπάκια για παιδιά με αναπηρία
Δευ 13 Ιουν - 14:33 από langasur
» Μπήκε σε κομμωτήριο και προσπάθησε να δολοφονήσει τον ιδιοκτήτη
Τετ 23 Μαρ - 13:26 από stuffkharb
» Άρτα: Έκκληση για να ξανασταθεί 21χρονος στα πόδια του
Δευ 11 Οκτ - 16:04 από manikkmanikk62
» ooVoo - chat and voip
Παρ 9 Οκτ - 22:37 από roundcubethirteen
» Για σένα τραγουδώ --- Γιάννης Πουλόπουλος. HD.
Κυρ 4 Δεκ - 15:54 από manolissp
» Eνα ταξίδι --- RONI IRON Feat. Charitini (Tripes Tribute). HD.
Κυρ 6 Νοε - 20:08 από manolissp
» Grrek Filiko Forum
Κυρ 30 Οκτ - 19:31 από akritas
» Moby - Porcelain (Official Video)
Κυρ 23 Οκτ - 21:04 από manolissp
» Moby 'Why Does My Heart Feel So Bad?' - Official video
Κυρ 23 Οκτ - 21:01 από manolissp
» ♛♛♛ Imany – Don't be so shy (Filatov & Karas Remix) ♛♛♛
Κυρ 23 Οκτ - 20:57 από manolissp
» ~Αχ βρε ζωή~ Νίκος Οικονομίδης ♬♪
Παρ 21 Οκτ - 20:01 από manolissp
» The Olympians - Istoria (Ιστορία)
Παρ 21 Οκτ - 17:26 από manolissp
» olympians --o tropos
Παρ 21 Οκτ - 17:20 από manolissp
» Ελένη Δήμου ~ Δεν με νοιάζει
Παρ 21 Οκτ - 17:17 από manolissp
» Μια γυναίκα μόνο ξέρει - Καίτη Γκρέυ
Παρ 21 Οκτ - 17:10 από manolissp
» ΟΤΙ ΑΓΑΠΩ ΕΙΝΑΙ ΔΙΚΟ ΣΟΥ ΓΛΥΚΕΡΙΑ-HD
Παρ 21 Οκτ - 17:06 από manolissp
» ΓΙΑ ΠΟΥ ΤΟ'ΒΑΛΕΣ ΚΑΡΔΙΑ ΜΟΥ- ΟΡΦΕΑΣ ΠΕΡΙΔΗΣ
Παρ 21 Οκτ - 16:58 από manolissp
» Ζαφείρης Μελάς - Γαμώ την Καλοσύνη μου (Νew 2011)
Παρ 21 Οκτ - 16:54 από manolissp