top of page

Śledź nasze wpisy w social media

  • Instagram
  • Facebook
  • Twitter
  • LinkedIn
  • YouTube
Zdjęcie autoraPiotr Kośka

Exploit podszywa się pod moduł IPS. Fortinet




Fortinet ujawnia szczegóły trwającej ekspoitacji. Zainfekowane urządzenie posiada taki plik


Okazuje się, że jest to prawdziwy plik modułu IPS, ale z wstrzykniętym dodatkowym kodem. Dodatkowy kod odpala backdoorka (widać tutaj zresztą adres IP używany przez atakujących) Co umożliwia? Interaktywne uruchamianie poleceń w OS na zainfekowanym sprzęcie.







W szczególności, na zrzucie powyżej mamy plik o nazwie "w". To finalny malware, który jest pobierany na urządzenie, a który realizuje kilka ciekawych funkcji:


  • Łata pliki /bin/miglogd oraz /bin/syslogd – tak aby zmodyfikować logowanie zdarzeń na urządzeniu

  • Ma swoje warianty aż dla 27 różnych modelu urządzeń Fortinet

  • Usuwa stosowne wpisy w logach

Jak wygląda rozpoczęcie ataku? Komunikacja do urządzenia niewymagająca posiadania konta na urządzeniu, wysyła w żądaniu Client Hello (chodzi o nawiązanie połączenia TLS do urządzenia). Taki fragment, zlokalizowany w powyższym żądaniu, świadczy właśnie o (próbie) infekcji:


\x00\x0C\x08http/1.1\x02h2\x00\x00\x00\x14\x00\x12\x00\x00\x0Fwww.example.com” (unescaped) should appear inside the “Client Hello


Źródło:



40 wyświetleń0 komentarzy

Ostatnie posty

Zobacz wszystkie

Comments


Śledź nasze wpisy w social media

  • Instagram
  • Facebook
  • Twitter
  • LinkedIn
  • YouTube

Poznaj terraform jedno z najepszych narzedzi do zarządzania infrastrukturą w kodzie (IaC) - w kursie tym przeprowadzam Cię przez proces instalacji i konfiguracji tego narzędzia.

bottom of page