top of page

Śledź nasze wpisy w social media

  • Instagram
  • Facebook
  • Twitter
  • LinkedIn
  • YouTube
  • Zdjęcie autoraPiotr Kośka

Exploit podszywa się pod moduł IPS. Fortinet




Fortinet ujawnia szczegóły trwającej ekspoitacji. Zainfekowane urządzenie posiada taki plik


Okazuje się, że jest to prawdziwy plik modułu IPS, ale z wstrzykniętym dodatkowym kodem. Dodatkowy kod odpala backdoorka (widać tutaj zresztą adres IP używany przez atakujących) Co umożliwia? Interaktywne uruchamianie poleceń w OS na zainfekowanym sprzęcie.







W szczególności, na zrzucie powyżej mamy plik o nazwie "w". To finalny malware, który jest pobierany na urządzenie, a który realizuje kilka ciekawych funkcji:


  • Łata pliki /bin/miglogd oraz /bin/syslogd – tak aby zmodyfikować logowanie zdarzeń na urządzeniu

  • Ma swoje warianty aż dla 27 różnych modelu urządzeń Fortinet

  • Usuwa stosowne wpisy w logach

Jak wygląda rozpoczęcie ataku? Komunikacja do urządzenia niewymagająca posiadania konta na urządzeniu, wysyła w żądaniu Client Hello (chodzi o nawiązanie połączenia TLS do urządzenia). Taki fragment, zlokalizowany w powyższym żądaniu, świadczy właśnie o (próbie) infekcji:


\x00\x0C\x08http/1.1\x02h2\x00\x00\x00\x14\x00\x12\x00\x00\x0Fwww.example.com” (unescaped) should appear inside the “Client Hello


Źródło:



40 wyświetleń0 komentarzy

Ostatnie posty

Zobacz wszystkie

Śledź nasze wpisy w social media

  • Instagram
  • Facebook
  • Twitter
  • LinkedIn
  • YouTube
Poznaj wiecej szczegołów...

Poznaj terraform jedno z najepszych narzedzi do zarządzania infrastrukturą w kodzie (IaC) - w kursie tym przeprowadzam Cię przez proces instalacji i konfiguracji tego narzędzia.

bottom of page