ESET ποια router επηρεάζονται από το Win32/Sality DNS changer
TrelosTwnFm-News :: ΕΙΔΗΣΕΙΣ :: ΙΝΤΕΡΝΕΤ
Σελίδα 1 από 1
ESET ποια router επηρεάζονται από το Win32/Sality DNS changer
από ΤΡΕΛΛΟΣ ΤΩΝ FM Κυρ 13 Απρ - 22:50
Η εταιρεία ασφαλείας ESET δημοσίευσε στο blog της νέα στοιχεία και χαρακτηριστικά για το Win32/Sality DNS changer.
Το Win32/Sality είναι μια οικογένεια malware που χρησιμοποιείται από ένα peer-to-peer botnet, τουλάχιστον από το 2003. Πρόκειται για ένα file infector και ένα trojan downloader, που κατά κύριο λόγο χρησιμοποιείται για την αποστολή spam, αν και έχει χρησιμοποιηθεί για διάφορους σκοπούς, όπως τη μίμηση της κυκλοφορίας δικτύων διαφήμισης, επιθέσεις distributed denial of service ή cracking σε λογαριασμούς VoIP. Όλες οι εντολές και τα αρχεία που ανταλλάσσονται μέσω του δικτύου Sality P2P είναι ψηφιακά υπογεγραμμένα. Η αρχιτεκτονική του, καθώς και η μακροζωία του botnet δείχνει ότι έχει σχεδιαστεί και προγραμματιστεί άψογα.
Η ESET παρακολουθεί το δίκτυο Win32/Sality για αρκετό καιρό και έχει καταγράψει περισσότερες από 115000 διευθύνσεις IP που χρησιμοποιούν τα λεγόμενα «super peers», για να κρατούν ζωντανό το botnet. Το botnet με αυτό τον τρόπο μεταδίδει τις εντολές τους σε τακτικούς ομότιμους aka peers.
Η εταιρεία ασφαλείας, παρακολουθεί και καταγράφει την συμπεριφορά του δικτύου αρκετό καιρό τώρα. Τον τελευταίο καιρό, οι ερευνητές ανακάλυψαν κάποια νέα χαρακτηριστικά του: απέκτησε την ικανότητα να αλλάζει την κύρια διεύθυνση DNS των router, κάτι το οποίο είναι πολύ διαφορετικό από το μια συνηθισμένη κλοπή κωδικού πρόσβασης FTP ή την λειτουργία ενός spambot που γνωρίζαμε από το Win32/Sality. Σύμφωνα με τα στοιχεία της τηλεμετρίας της ESET, το νέο χαρακτηριστικό εμφανίστηκε για πρώτη φορά στο τέλος του Οκτωβρίου 2013. Τότε αναφέρθηκε για πρώτη φορά από την Dr. Web, η οποία δημοσίευσε μια τεχνική ανάλυση ενός χαρακτηριστικού, το σαρωτή διευθύνσεων IP. Το ονόμασαν Win32/RBrute.
Ο νέος στόχος: η αλλαγή του πρωτεύοντος DNS ενός δρομολογητή
Αυτό το χαρακτηριστικό προσθέτει μια νέα διάσταση στη λειτουργία του Win32/Sality. Η πρώτη συνιστώσα, που ανιχνεύεται από την ESET σαν Win32/RBrute.A, σαρώνει το Διαδίκτυο για τις σελίδες διαχείρισης των routers για να αλλάξει την καταχώρηση του κύριου διακομιστή DNS. Οι διακομιστές DNS που προσθέτει το malware ανακατευθύνον τους χρήστες σε μια πλαστή σελίδα εγκατάστασης του Google Chrome κάθε φορά που προσπαθούν να ανοίξουν σελιδες που το url περιέχει τις λέξεις «google» ή «Facebook». Το binary που διανέμεται μέσω αυτής της σελίδας εγκατάστασης είναι στην πραγματικότητα το Win32/Sality, παρέχοντας έτσι έναν τρόπο στους ιδιοκτήτες του botnet Sality να αυξήσουν περαιτέρω το μέγεθος του αριθμού των θυμάτων τους με τα μολυσμένα routers.
Η διεύθυνση IP που χρησιμοποιείται ως πρωτεύον DNS στο router του θύματος αποτελεί μέρος του δικτύου Win32/Sality. Στην πραγματικότητα, το Win32/Sality εγκαθιστά ένα άλλο κακόβουλο λογισμικό, που ανιχνεύεται από την ESET σαν Win32/RBrute.B. Το Win32/RBrute.B λειτουργεί διακομιστής μεσολάβησης DNS ή HTTP για να παραδώσει το ψεύτικο πρόγραμμα εγκατάστασης του Google Chrome.
η επιχείρηση
Η ESET δημοσίευσε μια λίστα με τα routers που είναι ευπαθή στο Win32/RBrute.A malware:
Cisco routers matching “level_15_” in the HTTP realm attribute
D-Link DSL-2520U
D-Link DSL-2542B
D-Link DSL-2600U
Huawei EchoLife
TP-LINK
TP-Link TD-8816
TP-Link TD-8817
TP-Link TD-8817 2.0
TP-Link TD-8840T
TP-Link TD-8840T 2.0
TP-Link TD-W8101G
TP-Link TD-W8151N
TP-Link TD-W8901G
TP-Link TD-W8901G 3.0
TP-Link TD-W8901GB
TP-Link TD-W8951ND
TP-Link TD-W8961ND
TP-Link TD-W8961ND
ZTE ZXDSL 831CII
ZTE ZXV10 W300
Όταν το κακόβουλο λογισμικό ανακαλύψει την ιστοσελίδα διαχείρισης του router, το κέντρο διοίκησης και ελέγχου (C&C) στέλνει μια μικρή λίστα από περίπου δέκα κωδικούς πρόσβασης στο bot και του αναθέτει να εκτελέσει μια επίθεση brute force, για να ανακαλύψει τον κωδικό του router. Όταν το bot καταφέρει να συνδεθεί, αλλάζει αμέσως τις ρυθμίσεις του κύριου διακομιστή DNS του router. Μόλις το κάνει, όλα τα ερωτήματα DNS που κάνουν οι χρήστες περνάνε από το «πειραγμένο» διακομιστή DNS, ο οποίος τους ανακατευθύνει σε μια ψεύτικη σελίδα εγκατάστασης του Chrome.
Αν σας ενδιαφέρει η τεχνική ανάλυση Win32/Sality DNS changer μπορείτε να την βρείτε στην ιστοσελίδα της => ESET
*iguru.gr
Το Win32/Sality είναι μια οικογένεια malware που χρησιμοποιείται από ένα peer-to-peer botnet, τουλάχιστον από το 2003. Πρόκειται για ένα file infector και ένα trojan downloader, που κατά κύριο λόγο χρησιμοποιείται για την αποστολή spam, αν και έχει χρησιμοποιηθεί για διάφορους σκοπούς, όπως τη μίμηση της κυκλοφορίας δικτύων διαφήμισης, επιθέσεις distributed denial of service ή cracking σε λογαριασμούς VoIP. Όλες οι εντολές και τα αρχεία που ανταλλάσσονται μέσω του δικτύου Sality P2P είναι ψηφιακά υπογεγραμμένα. Η αρχιτεκτονική του, καθώς και η μακροζωία του botnet δείχνει ότι έχει σχεδιαστεί και προγραμματιστεί άψογα.
Η ESET παρακολουθεί το δίκτυο Win32/Sality για αρκετό καιρό και έχει καταγράψει περισσότερες από 115000 διευθύνσεις IP που χρησιμοποιούν τα λεγόμενα «super peers», για να κρατούν ζωντανό το botnet. Το botnet με αυτό τον τρόπο μεταδίδει τις εντολές τους σε τακτικούς ομότιμους aka peers.
Η εταιρεία ασφαλείας, παρακολουθεί και καταγράφει την συμπεριφορά του δικτύου αρκετό καιρό τώρα. Τον τελευταίο καιρό, οι ερευνητές ανακάλυψαν κάποια νέα χαρακτηριστικά του: απέκτησε την ικανότητα να αλλάζει την κύρια διεύθυνση DNS των router, κάτι το οποίο είναι πολύ διαφορετικό από το μια συνηθισμένη κλοπή κωδικού πρόσβασης FTP ή την λειτουργία ενός spambot που γνωρίζαμε από το Win32/Sality. Σύμφωνα με τα στοιχεία της τηλεμετρίας της ESET, το νέο χαρακτηριστικό εμφανίστηκε για πρώτη φορά στο τέλος του Οκτωβρίου 2013. Τότε αναφέρθηκε για πρώτη φορά από την Dr. Web, η οποία δημοσίευσε μια τεχνική ανάλυση ενός χαρακτηριστικού, το σαρωτή διευθύνσεων IP. Το ονόμασαν Win32/RBrute.
Ο νέος στόχος: η αλλαγή του πρωτεύοντος DNS ενός δρομολογητή
Αυτό το χαρακτηριστικό προσθέτει μια νέα διάσταση στη λειτουργία του Win32/Sality. Η πρώτη συνιστώσα, που ανιχνεύεται από την ESET σαν Win32/RBrute.A, σαρώνει το Διαδίκτυο για τις σελίδες διαχείρισης των routers για να αλλάξει την καταχώρηση του κύριου διακομιστή DNS. Οι διακομιστές DNS που προσθέτει το malware ανακατευθύνον τους χρήστες σε μια πλαστή σελίδα εγκατάστασης του Google Chrome κάθε φορά που προσπαθούν να ανοίξουν σελιδες που το url περιέχει τις λέξεις «google» ή «Facebook». Το binary που διανέμεται μέσω αυτής της σελίδας εγκατάστασης είναι στην πραγματικότητα το Win32/Sality, παρέχοντας έτσι έναν τρόπο στους ιδιοκτήτες του botnet Sality να αυξήσουν περαιτέρω το μέγεθος του αριθμού των θυμάτων τους με τα μολυσμένα routers.
Η διεύθυνση IP που χρησιμοποιείται ως πρωτεύον DNS στο router του θύματος αποτελεί μέρος του δικτύου Win32/Sality. Στην πραγματικότητα, το Win32/Sality εγκαθιστά ένα άλλο κακόβουλο λογισμικό, που ανιχνεύεται από την ESET σαν Win32/RBrute.B. Το Win32/RBrute.B λειτουργεί διακομιστής μεσολάβησης DNS ή HTTP για να παραδώσει το ψεύτικο πρόγραμμα εγκατάστασης του Google Chrome.
η επιχείρηση
Η ESET δημοσίευσε μια λίστα με τα routers που είναι ευπαθή στο Win32/RBrute.A malware:
Cisco routers matching “level_15_” in the HTTP realm attribute
D-Link DSL-2520U
D-Link DSL-2542B
D-Link DSL-2600U
Huawei EchoLife
TP-LINK
TP-Link TD-8816
TP-Link TD-8817
TP-Link TD-8817 2.0
TP-Link TD-8840T
TP-Link TD-8840T 2.0
TP-Link TD-W8101G
TP-Link TD-W8151N
TP-Link TD-W8901G
TP-Link TD-W8901G 3.0
TP-Link TD-W8901GB
TP-Link TD-W8951ND
TP-Link TD-W8961ND
TP-Link TD-W8961ND
ZTE ZXDSL 831CII
ZTE ZXV10 W300
Όταν το κακόβουλο λογισμικό ανακαλύψει την ιστοσελίδα διαχείρισης του router, το κέντρο διοίκησης και ελέγχου (C&C) στέλνει μια μικρή λίστα από περίπου δέκα κωδικούς πρόσβασης στο bot και του αναθέτει να εκτελέσει μια επίθεση brute force, για να ανακαλύψει τον κωδικό του router. Όταν το bot καταφέρει να συνδεθεί, αλλάζει αμέσως τις ρυθμίσεις του κύριου διακομιστή DNS του router. Μόλις το κάνει, όλα τα ερωτήματα DNS που κάνουν οι χρήστες περνάνε από το «πειραγμένο» διακομιστή DNS, ο οποίος τους ανακατευθύνει σε μια ψεύτικη σελίδα εγκατάστασης του Chrome.
Αν σας ενδιαφέρει η τεχνική ανάλυση Win32/Sality DNS changer μπορείτε να την βρείτε στην ιστοσελίδα της => ESET
*iguru.gr
ΤΡΕΛΛΟΣ ΤΩΝ FM- Διαχειριστής
Χώρα : 
Φύλλο : 
Όνομα : Βασίλης
Τόπος : Γαργαλιάνοι Μεσσηνίας
Ηλικία : 44
Δημοσιεύσεις : 41153
Έλαβες ευχαριστώ : 320
Browser : 
-
Παρόμοια θέματα» Οι πτήσεις που επηρεάζονται από τις στάσεις εργασίας
» Κυκλοφορεί τώρα: Facebook Color Changer
» Έξι τρόποι να ασφαλίσετε το router σας
» Η ESET ανακάλυψε το Hesperbot ένα νέο έξυπνο malware
» ESET: Ενημερωμένο malware αλλάζει τα DNS των Routers
» Κυκλοφορεί τώρα: Facebook Color Changer
» Έξι τρόποι να ασφαλίσετε το router σας
» Η ESET ανακάλυψε το Hesperbot ένα νέο έξυπνο malware
» ESET: Ενημερωμένο malware αλλάζει τα DNS των Routers
TrelosTwnFm-News :: ΕΙΔΗΣΕΙΣ :: ΙΝΤΕΡΝΕΤ
Σελίδα 1 από 1
Δικαιώματα σας στην κατηγορία αυτή
Δεν μπορείτε να απαντήσετε στα Θέματα αυτής της Δ.Συζήτησης|
|
|
» Ο ΤΡΕΛΛΟΣ ΤΩΝ FM παντρεύεται !
» Το FIFA World έρχεται στο PC
» Τα UK charts της εβδομάδας
» Trailer για το νέο Need for Speed
» Εκλογές 2023 : Πόσες ημέρες άδειας δικαιούνται οι εργαζόμενοι
» Συνελήφθη γυναίκα σε χωριό του Αγρινίου – Φέρεται να απείλησε νεαρό με κυνηγετικό όπλο
» J2US: Ο Πασχάλης Τερζής έκανε την μεγάλη έκπληξη – «Έσπασαν» Εύη Δρούτσα και Δέσποινα Βανδή
» Λευκές ελιές: Μια σπάνια ποικιλία ελιάς με καταγωγή από τα αρχαία χρόνια
» Ο άγνωστος ιαματικός πλούτος της Ελλάδας.Οι 90 Ιαματικές Πηγές,9 στην Αιτωλοακαρνανία
» Λαμία: Έκκληση για αίμα 0 ρέζους αρνητικό
» Βραβεύθηκαν Λουξ και Καλλιμάνης από την Ελληνική Ακαδημία Μάρκετινγκ
» Συλλέγουν πλαστικά καπάκια για παιδιά με αναπηρία
» Μπήκε σε κομμωτήριο και προσπάθησε να δολοφονήσει τον ιδιοκτήτη
» Άρτα: Έκκληση για να ξανασταθεί 21χρονος στα πόδια του
» ooVoo - chat and voip
» Για σένα τραγουδώ --- Γιάννης Πουλόπουλος. HD.
» Eνα ταξίδι --- RONI IRON Feat. Charitini (Tripes Tribute). HD.
» Grrek Filiko Forum
» Moby - Porcelain (Official Video)
» Moby 'Why Does My Heart Feel So Bad?' - Official video
» ♛♛♛ Imany – Don't be so shy (Filatov & Karas Remix) ♛♛♛
» ~Αχ βρε ζωή~ Νίκος Οικονομίδης ♬♪
» The Olympians - Istoria (Ιστορία)
» olympians --o tropos
» Ελένη Δήμου ~ Δεν με νοιάζει
» Μια γυναίκα μόνο ξέρει - Καίτη Γκρέυ
» ΟΤΙ ΑΓΑΠΩ ΕΙΝΑΙ ΔΙΚΟ ΣΟΥ ΓΛΥΚΕΡΙΑ-HD
» ΓΙΑ ΠΟΥ ΤΟ'ΒΑΛΕΣ ΚΑΡΔΙΑ ΜΟΥ- ΟΡΦΕΑΣ ΠΕΡΙΔΗΣ
» Ζαφείρης Μελάς - Γαμώ την Καλοσύνη μου (Νew 2011)