The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Результаты анализа бэкдора, используемого при взломе серверов IRC-сети Freenode

15.10.2014 09:30

Опубликован анализ бэкдора, который в результате взлома серверов IRC-сети Freenode был внедрён для оставления скрытого входа в систему. Для активации доступа злоумышленников к бэкдору использовалась техника "port knocking", при которой после отправки специально оформленного набора пакетов, сервер инициировал канал связи к заявившему о себе узлу злоумышленников. Для скрытия информации в канале связи применялось шифрование. Такой подход позволил не привязывать бэкдор к IP-адресам управляющих узлов. Выявлением в трафике активирующей бэкдор последовательности пакетов занимался специально подготовленный модуль ядра ipt_ip_udp, использующий подсистему netfilter для перехвата пакетов.



  1. Главная ссылка к новости (https://www.nccgroup.com/en/bl...)
  2. OpenNews: Сообщение о взломе серверов IRC-сети Freenode
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/40829-freenode
Ключевые слова: freenode
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (6) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, SCIF (ok), 09:45, 15/10/2014 [ответить]  
  • +3 +/
    Бэкдор, порткнокинг, это всё прекрасно, но как они получили шелл, да ещё и рутовый (чтобы правила для iptables рисовать)??
     
     
  • 2.5, piteri (ok), 16:23, 15/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Ну как обычно такое делают? Наверняка кто-то из админов использовал putty.exe.
     
     
  • 3.6, Аноним (-), 13:57, 10/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    putty.exe сам транслирует логины и пароли рутовые? А если намек на то что раз putty.exe значит винда, а раз винда значит кейлогер/троян. То в общем от аппаратного кейлогера вообще никто не защищен  =) А еще гораздо проще просто с людьми договорится/запугать/заплатить и получить нужные данные. И тогда хоть путти.ехе хоть пусси.ехе...  
     

  • 1.2, Аноним (-), 09:56, 15/10/2014 [ответить]  
  • +7 +/
    >  специально подготовленный модуль ядра ipt_ip_udp

    Нормально так :). Теперь пропатчить немного троян, чтобы отгружал злодею пробэкдореные или фэйковые файлы и сделать вид что бэкдор не нашли. Попутно делая за кадром троллфэйс.

     
  • 1.4, Аноним (-), 14:03, 15/10/2014 [ответить]  
  • +1 +/
    А сорцы ipt_ip_udp где?
     
     
  • 2.7, Dobro (?), 14:40, 17/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Реверс-инжиниринг, же.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру