TrelosTwnFm-News
Σας ανακοινώνω οτι το forum θα είναι ''ανενεργό'' σε θέματα.
Και πλέον την σκυτάλη στην ενημέρωση θα την ''πάρει'' το blog.
Καλή συνέχεια να έχουμε.

http://trelostwnfmnews.blogspot.gr/
TrelosTwnFm-News
Σας ανακοινώνω οτι το forum θα είναι ''ανενεργό'' σε θέματα.
Και πλέον την σκυτάλη στην ενημέρωση θα την ''πάρει'' το blog.
Καλή συνέχεια να έχουμε.

http://trelostwnfmnews.blogspot.gr/

ESET ποια router επηρεάζονται από το Win32/Sality DNS changer

Πήγαινε κάτω

ESET ποια router επηρεάζονται από το Win32/Sality DNS changer Empty ESET ποια router επηρεάζονται από το Win32/Sality DNS changer

Δημοσίευση από ΤΡΕΛΛΟΣ ΤΩΝ FM Κυρ 13 Απρ - 22:50

Η εταιρεία ασφαλείας ESET δημοσίευσε στο blog της νέα στοιχεία και χαρακτηριστικά για το Win32/Sality DNS changer.

Το Win32/Sality είναι μια οικογένεια malware που χρησιμοποιείται από ένα peer-to-peer botnet, τουλάχιστον από το 2003. Πρόκειται για ένα file infector και ένα trojan downloader, που κατά κύριο λόγο χρησιμοποιείται για την αποστολή spam, αν και έχει χρησιμοποιηθεί για διάφορους σκοπούς, όπως τη μίμηση της κυκλοφορίας δικτύων διαφήμισης, επιθέσεις distributed denial of service ή cracking σε λογαριασμούς VoIP. Όλες οι εντολές και τα αρχεία που ανταλλάσσονται μέσω του δικτύου Sality P2P είναι ψηφιακά υπογεγραμμένα. Η αρχιτεκτονική του, καθώς και η μακροζωία του botnet δείχνει ότι έχει σχεδιαστεί και προγραμματιστεί άψογα.

Η ESET παρακολουθεί το δίκτυο Win32/Sality για αρκετό καιρό και έχει καταγράψει περισσότερες από 115000 διευθύνσεις IP που χρησιμοποιούν τα λεγόμενα «super peers», για να κρατούν ζωντανό το botnet. Το botnet με αυτό τον τρόπο μεταδίδει τις εντολές τους σε τακτικούς ομότιμους aka peers.

Η εταιρεία ασφαλείας, παρακολουθεί και καταγράφει την συμπεριφορά του δικτύου αρκετό καιρό τώρα. Τον τελευταίο καιρό, οι ερευνητές ανακάλυψαν κάποια νέα χαρακτηριστικά του: απέκτησε την ικανότητα να αλλάζει την κύρια διεύθυνση DNS των router, κάτι το οποίο είναι πολύ διαφορετικό από το μια συνηθισμένη κλοπή κωδικού πρόσβασης FTP ή την λειτουργία ενός spambot που γνωρίζαμε από το Win32/Sality. Σύμφωνα με τα στοιχεία της τηλεμετρίας της ESET, το νέο χαρακτηριστικό εμφανίστηκε για πρώτη φορά στο τέλος του Οκτωβρίου 2013. Τότε αναφέρθηκε για πρώτη φορά από την Dr. Web, η οποία δημοσίευσε μια τεχνική ανάλυση ενός χαρακτηριστικού, το σαρωτή διευθύνσεων IP. Το ονόμασαν Win32/RBrute.
Ο νέος στόχος: η αλλαγή του πρωτεύοντος DNS ενός δρομολογητή

Αυτό το χαρακτηριστικό προσθέτει μια νέα διάσταση στη λειτουργία του Win32/Sality. Η πρώτη συνιστώσα, που ανιχνεύεται από την ESET σαν Win32/RBrute.A, σαρώνει το Διαδίκτυο για τις σελίδες διαχείρισης των routers για να αλλάξει την καταχώρηση του κύριου διακομιστή DNS. Οι διακομιστές DNS που προσθέτει το malware ανακατευθύνον τους χρήστες σε μια πλαστή σελίδα εγκατάστασης του Google Chrome κάθε φορά που προσπαθούν να ανοίξουν σελιδες που το url περιέχει τις λέξεις «google» ή «Facebook». Το binary που διανέμεται μέσω αυτής της σελίδας εγκατάστασης είναι στην πραγματικότητα το Win32/Sality, παρέχοντας έτσι έναν τρόπο στους ιδιοκτήτες του botnet Sality να αυξήσουν περαιτέρω το μέγεθος του αριθμού των θυμάτων τους με τα μολυσμένα routers.

Η διεύθυνση IP που χρησιμοποιείται ως πρωτεύον DNS στο router του θύματος αποτελεί μέρος του δικτύου Win32/Sality. Στην πραγματικότητα, το Win32/Sality εγκαθιστά ένα άλλο κακόβουλο λογισμικό, που ανιχνεύεται από την ESET σαν Win32/RBrute.B. Το Win32/RBrute.B λειτουργεί διακομιστής μεσολάβησης DNS ή HTTP για να παραδώσει το ψεύτικο πρόγραμμα εγκατάστασης του Google Chrome.
η επιχείρηση

Η ESET δημοσίευσε μια λίστα με τα routers που είναι ευπαθή στο Win32/RBrute.A malware:

Cisco routers matching “level_15_” in the HTTP realm attribute
D-Link DSL-2520U
D-Link DSL-2542B
D-Link DSL-2600U
Huawei EchoLife
TP-LINK
TP-Link TD-8816
TP-Link TD-8817
TP-Link TD-8817 2.0
TP-Link TD-8840T
TP-Link TD-8840T 2.0
TP-Link TD-W8101G
TP-Link TD-W8151N
TP-Link TD-W8901G
TP-Link TD-W8901G 3.0
TP-Link TD-W8901GB
TP-Link TD-W8951ND
TP-Link TD-W8961ND
TP-Link TD-W8961ND
ZTE ZXDSL 831CII
ZTE ZXV10 W300

Όταν το κακόβουλο λογισμικό ανακαλύψει την ιστοσελίδα διαχείρισης του router, το κέντρο διοίκησης και ελέγχου (C&C) στέλνει μια μικρή λίστα από περίπου δέκα κωδικούς πρόσβασης στο bot και του αναθέτει να εκτελέσει μια επίθεση brute force, για να ανακαλύψει τον κωδικό του router. Όταν το bot καταφέρει να συνδεθεί, αλλάζει αμέσως τις ρυθμίσεις του κύριου διακομιστή DNS του router. Μόλις το κάνει, όλα τα ερωτήματα DNS που κάνουν οι χρήστες περνάνε από το «πειραγμένο» διακομιστή DNS, ο οποίος τους ανακατευθύνει σε μια ψεύτικη σελίδα εγκατάστασης του Chrome.


ESET ποια router επηρεάζονται από το Win32/Sality DNS changer Google-doesntexist

Αν σας ενδιαφέρει η τεχνική ανάλυση Win32/Sality DNS changer μπορείτε να την βρείτε στην ιστοσελίδα της => ESET

*iguru.gr
ΤΡΕΛΛΟΣ ΤΩΝ FM
ΤΡΕΛΛΟΣ ΤΩΝ FM
Διαχειριστής

Χώρα Χώρα : Greece
Φύλλο Φύλλο : Άντρας
Όνομα : Βασίλης
Τόπος Τόπος : Γαργαλιάνοι Μεσσηνίας
Ηλικία Ηλικία : 44
Δημοσιεύσεις Δημοσιεύσεις : 41153
Έλαβες ευχαριστώ Έλαβες ευχαριστώ : 320
Browser Browser : ESET ποια router επηρεάζονται από το Win32/Sality DNS changer 41610

https://www.facebook.com//groups/trelostwnfm.forumgreek/ https://twitter.com/Trelostwnfm

Επιστροφή στην κορυφή Πήγαινε κάτω

Επιστροφή στην κορυφή

- Παρόμοια θέματα

 
Δικαιώματα σας στην κατηγορία αυτή
Δεν μπορείτε να απαντήσετε στα Θέματα αυτής της Δ.Συζήτησης