Fortinet ujawnia szczegóły trwającej ekspoitacji. Zainfekowane urządzenie posiada taki plik
Okazuje się, że jest to prawdziwy plik modułu IPS, ale z wstrzykniętym dodatkowym kodem. Dodatkowy kod odpala backdoorka (widać tutaj zresztą adres IP używany przez atakujących) Co umożliwia? Interaktywne uruchamianie poleceń w OS na zainfekowanym sprzęcie.
W szczególności, na zrzucie powyżej mamy plik o nazwie "w". To finalny malware, który jest pobierany na urządzenie, a który realizuje kilka ciekawych funkcji:
Łata pliki /bin/miglogd oraz /bin/syslogd – tak aby zmodyfikować logowanie zdarzeń na urządzeniu
Ma swoje warianty aż dla 27 różnych modelu urządzeń Fortinet
Usuwa stosowne wpisy w logach
Jak wygląda rozpoczęcie ataku? Komunikacja do urządzenia niewymagająca posiadania konta na urządzeniu, wysyła w żądaniu Client Hello (chodzi o nawiązanie połączenia TLS do urządzenia). Taki fragment, zlokalizowany w powyższym żądaniu, świadczy właśnie o (próbie) infekcji:
\x00\x0C\x08http/1.1\x02h2\x00\x00\x00\x14\x00\x12\x00\x00\x0Fwww.example.com” (unescaped) should appear inside the “Client Hello
Źródło:
Comments