Comments 30
> протоколами, включая ICMP, UDP, TCP, DNS, SMTP и HTTP
И смешались в кучу кони, люди…
И смешались в кучу кони, люди…
Ну в принципе да, мало ли у кого какие порты закрыты. А использование в качестве транспорта DNS это вообще классика, помнится еще в далекие девяностые был какой-то софт для халявного доступа в инет через DNS, тестовые модемные пулы и фейковые DNS-сервера.
А что собственно Вас смущает?
Смущает, что DNS работает по ранспортному протоколу UDP(реже по TCP), а HTTP, SMTP по TCP. Перемешали понятия транспортного уровня и прикладного
Это как утверждение, что хакеры заражают компы по Ethernet, TCP и HTTP
Это как утверждение, что хакеры заражают компы по Ethernet, TCP и HTTP
В данном случае, имеется ввиду туннелирование данных в DNS, т.е. DNS фактически используется как канальный уровень.
А это нормальное утверждение в данном конексте. Могут быть использованы 3 разных вектора, например уязвимость в драйвере стевой карты, которая не зависит от транспортного протокола, атака на стек TCP/IP эксплуатирующая сбор фрагментированных пакетов и RCE в веб-приложении и любая из успешных атак будет использована для внедрения одного и того же кода.
Даже червь Морриса использовал три разных вектора атаки.
Это как утверждение, что хакеры заражают компы по Ethernet, TCP и HTTP
А это нормальное утверждение в данном конексте. Могут быть использованы 3 разных вектора, например уязвимость в драйвере стевой карты, которая не зависит от транспортного протокола, атака на стек TCP/IP эксплуатирующая сбор фрагментированных пакетов и RCE в веб-приложении и любая из успешных атак будет использована для внедрения одного и того же кода.
Даже червь Морриса использовал три разных вектора атаки.
Верно, однако в статье говорилось, что «использовался TCP», а не «был атакован TCP/IP»
Это как: «для взлома, хакер использовал компьютер, мышь и процессор» — вроде всё верно, и это действительно использовалось, но звучит совершенно безграмотно.
Это как: «для взлома, хакер использовал компьютер, мышь и процессор» — вроде всё верно, и это действительно использовалось, но звучит совершенно безграмотно.
ICMP (напрямую) TCP (напрямую), UDP (напрямую), DNS (посредством резолвера) SMTP (через корпоративный почтовый сервер) HTTP (через корпоративный прокси) позволяют создать канал связи между зловредом и центром управления, в трех последних случаях даже тогда, когда с компьютера нет прямого доступа к Интернет.
С точки зрения зловреда все эти протоколы являются канальными, поверх них он реализует собственный транспорт.
С точки зрения зловреда все эти протоколы являются канальными, поверх них он реализует собственный транспорт.
DNS, SMTP, HTTP — всё понятно. Но при чем тут TCP, UDP? Как используя их, но не используя программные протоколы можно что-то нахакать? Приведите примеры плз
Именно здесь нет про нахакать, есть про то, как зловред связывается с центром управления:
Про нахакать, смотрите например CVE-2009-1925.
Malware обладает развитыми возможностями сетевой коммуникации на основе стека наиболее распространных протоколов ICMP, UDP, TCP, DNS, SMTP и HTTP
Про нахакать, смотрите например CVE-2009-1925.
Как же вас много здесь на этом сайте, заметили нестоковку и скорее бежите постить свой ценный комментарий.
Ну вы-то не такой, вы ничего ценного не постите.
За это в первую очередь и любят хабр (ну или по крайней мере любили до Read&Comment) — за качественные комментарии, которые разберут статью по косточкам и исправят все ошибки и недочеты, а заодно подкинут кучу материалов и размышлений на тему.
Именно так, профессиональный троль. Как раз вносит искру жизни в это царство карaмдрoчeрoв.
Качественные комментарии от школьных тро-ло-ло?! О чем вы батенька?
Разбор статьи по косточкам? О каких статьях идет речь? О заказных статьях рекламного характера, коих тут много или о тех убогих описаниях как сделать компутор из дедушкиной табакерки?
К слову, есть весьма крутые статьи и весьма интересные, но их весьма мало.
Качественные комментарии от школьных тро-ло-ло?! О чем вы батенька?
Разбор статьи по косточкам? О каких статьях идет речь? О заказных статьях рекламного характера, коих тут много или о тех убогих описаниях как сделать компутор из дедушкиной табакерки?
К слову, есть весьма крутые статьи и весьма интересные, но их весьма мало.
Раз уж зашла речь о ценных комментариях, строки с шаблонами имен файлов явно не рассчитаны на мои 1280 по горизонтали (да, у некоторых 17-дюймовые мониторы все еще не рассыпались в пыль от старости).
локализовать и отправлять своим создателям ключи шифрования со скомпрометированных систем
С интересом почитаю про локализацию ключей шифрования.
С интересом почитаю про локализацию ключей шифрования.
Это получается одно и то же вредоносное ПО для шпионажа что и тут https://habrahabr.ru/company/eset/blog/307372/?
Да вроде разное. Тот заражал через бажный драйвер аутпоста, а этот — это какой-то «фильтр паролей» (честно говоря впервые слышу, что это такое?)
Почитать о нем можно вот здесь msdn
если коротко — способ накатить в windows политику паролей ( сложность — длина, содержащиеся символы и т.д.)
Хорошая, мощная дырка в безопасности, т.к. пароли эта библиотека получает в открытом виде, остается только понять, откуда пришел вызов смены пароля.
если коротко — способ накатить в windows политику паролей ( сложность — длина, содержащиеся символы и т.д.)
Хорошая, мощная дырка в безопасности, т.к. пароли эта библиотека получает в открытом виде, остается только понять, откуда пришел вызов смены пароля.
Для каждой атакованной цели использовался уникальный алгоритм, что делало невозможным обнаружение других копий ПО после обнаружения одной из них по определенному индикатору.
— неужели где-то имеется неисчерпаемый источник уникальных алгоритмов?
В любое место программы NOP добавьте — и будет вам новый, уникальный, алгоритм.))
Думаю подобный шум отфильтровать не проблема. Новый алгоритм, все таки новая логика работы, NOP никак логику не меняет.
Ну, про NOP — я утрирую, разумеется.)
А в данном случае под «индикаторами», возможно, имеются в виду чисто сигнатурные вещи: имена и хэш-суммы файлов, куски ассемблерного кода, мьютексы, адреса C&C-серверов и т. п. Всё вышеперечисленное, разумеется, без особого труда может быть изменено для каждой атакуемой цели, что с успехом подтверждают, например, производители разнообразных вирусов-шифровальщиков.)
А в данном случае под «индикаторами», возможно, имеются в виду чисто сигнатурные вещи: имена и хэш-суммы файлов, куски ассемблерного кода, мьютексы, адреса C&C-серверов и т. п. Всё вышеперечисленное, разумеется, без особого труда может быть изменено для каждой атакуемой цели, что с успехом подтверждают, например, производители разнообразных вирусов-шифровальщиков.)
Пока не было ни одной версии, какая же страна или группа стран оплатили такую разработку.
А вы таки не догадываетесь?
Ну, была бы это публикация про то, что у диспетчеров энергосети мышка сама по экрану поползла ( https://geektimes.ru/post/272232/ ), версии бы начали строить ровно через 100 мс после публикации, без доказательств, но зато со «100% надежной» ссылкой на то, что в коде вируса нашли матерное слово на русском. А здесь, я смотрю, молчок ))
Для платформы разработано более 50 модулей-плагинов, расширяющих возможность центрального элемента;
Напомнило модульный вирус Стакс из книги «Хакеры 2.» Чубарьяна
Sign up to leave a comment.
ProjectSauron: кибершпионское ПО, взламывающее зашифрованные каналы связи госорганизаций