The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Результаты анализа бэкдора, используемого при взломе серверо..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Результаты анализа бэкдора, используемого при взломе серверо..."  +/
Сообщение от opennews (ok) on 15-Окт-14, 09:45 
Опубликован (https://www.nccgroup.com/en/blog/2014/10/analysis-of-the-lin.../) анализ бэкдора, который в результате взлома (https://www.opennet.ru/opennews/art.shtml?num=40585) серверов IRC-сети Freenode был внедрён для оставления скрытого входа в систему. Для активации доступа злоумышленников к бэкдору использовалась техника "port knocking", при которой после отправки специально оформленного набора пакетов, сервер инициировал канал связи к заявившему о себе узлу злоумышленников. Для  скрытия информации в канале связи применялось шифрование. Такой подход позволил не привязывать бэкдор к IP-адресам управляющих узлов. Выявлением в трафике активирующей бэкдор последовательности пакетов занимался специально подготовленный модуль ядра ipt_ip_udp,  использующий подсистему netfilter для перехвата пакетов.


<center><a href="https://www.nccgroup.com/media/481525/dc-blog-1.png">... src="https://www.opennet.ru/opennews/pics_base/0_1413350904.png" style="border-style: solid; border-color: #e9ead6; border-width: 15px;max-width:100%;" title="" border=0></a></center>

URL: https://www.nccgroup.com/en/blog/2014/10/analysis-of-the-lin.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=40829

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Результаты анализа бэкдора, используемого при взломе серверо..."  +3 +/
Сообщение от SCIF (ok) on 15-Окт-14, 09:45 
Бэкдор, порткнокинг, это всё прекрасно, но как они получили шелл, да ещё и рутовый (чтобы правила для iptables рисовать)??
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Результаты анализа бэкдора, используемого при взломе серверо..."  +/
Сообщение от piteri (ok) on 15-Окт-14, 16:23 
Ну как обычно такое делают? Наверняка кто-то из админов использовал putty.exe.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

6. "Результаты анализа бэкдора, используемого при взломе серверо..."  +/
Сообщение от Аноним (??) on 10-Ноя-14, 13:57 
putty.exe сам транслирует логины и пароли рутовые? А если намек на то что раз putty.exe значит винда, а раз винда значит кейлогер/троян. То в общем от аппаратного кейлогера вообще никто не защищен  =) А еще гораздо проще просто с людьми договорится/запугать/заплатить и получить нужные данные. И тогда хоть путти.ехе хоть пусси.ехе...  
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

2. "Результаты анализа бэкдора, используемого при взломе серверо..."  +8 +/
Сообщение от Аноним (??) on 15-Окт-14, 09:56 
>  специально подготовленный модуль ядра ipt_ip_udp

Нормально так :). Теперь пропатчить немного троян, чтобы отгружал злодею пробэкдореные или фэйковые файлы и сделать вид что бэкдор не нашли. Попутно делая за кадром троллфэйс.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Результаты анализа бэкдора, используемого при взломе серверо..."  +1 +/
Сообщение от Аноним (??) on 15-Окт-14, 14:03 
А сорцы ipt_ip_udp где?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Результаты анализа бэкдора, используемого при взломе серверо..."  +/
Сообщение от Dobro on 17-Ноя-14, 14:40 
Реверс-инжиниринг, же.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру