Comments 30
> протоколами, включая ICMP, UDP, TCP, DNS, SMTP и HTTP
И смешались в кучу кони, люди…
И смешались в кучу кони, люди…
+2
Ну в принципе да, мало ли у кого какие порты закрыты. А использование в качестве транспорта DNS это вообще классика, помнится еще в далекие девяностые был какой-то софт для халявного доступа в инет через DNS, тестовые модемные пулы и фейковые DNS-сервера.
+2
А что собственно Вас смущает?
+3
Смущает, что DNS работает по ранспортному протоколу UDP(реже по TCP), а HTTP, SMTP по TCP. Перемешали понятия транспортного уровня и прикладного
Это как утверждение, что хакеры заражают компы по Ethernet, TCP и HTTP
Это как утверждение, что хакеры заражают компы по Ethernet, TCP и HTTP
+4
В данном случае, имеется ввиду туннелирование данных в DNS, т.е. DNS фактически используется как канальный уровень.
А это нормальное утверждение в данном конексте. Могут быть использованы 3 разных вектора, например уязвимость в драйвере стевой карты, которая не зависит от транспортного протокола, атака на стек TCP/IP эксплуатирующая сбор фрагментированных пакетов и RCE в веб-приложении и любая из успешных атак будет использована для внедрения одного и того же кода.
Даже червь Морриса использовал три разных вектора атаки.
Это как утверждение, что хакеры заражают компы по Ethernet, TCP и HTTP
А это нормальное утверждение в данном конексте. Могут быть использованы 3 разных вектора, например уязвимость в драйвере стевой карты, которая не зависит от транспортного протокола, атака на стек TCP/IP эксплуатирующая сбор фрагментированных пакетов и RCE в веб-приложении и любая из успешных атак будет использована для внедрения одного и того же кода.
Даже червь Морриса использовал три разных вектора атаки.
+5
Верно, однако в статье говорилось, что «использовался TCP», а не «был атакован TCP/IP»
Это как: «для взлома, хакер использовал компьютер, мышь и процессор» — вроде всё верно, и это действительно использовалось, но звучит совершенно безграмотно.
Это как: «для взлома, хакер использовал компьютер, мышь и процессор» — вроде всё верно, и это действительно использовалось, но звучит совершенно безграмотно.
0
ICMP (напрямую) TCP (напрямую), UDP (напрямую), DNS (посредством резолвера) SMTP (через корпоративный почтовый сервер) HTTP (через корпоративный прокси) позволяют создать канал связи между зловредом и центром управления, в трех последних случаях даже тогда, когда с компьютера нет прямого доступа к Интернет.
С точки зрения зловреда все эти протоколы являются канальными, поверх них он реализует собственный транспорт.
С точки зрения зловреда все эти протоколы являются канальными, поверх них он реализует собственный транспорт.
+6
DNS, SMTP, HTTP — всё понятно. Но при чем тут TCP, UDP? Как используя их, но не используя программные протоколы можно что-то нахакать? Приведите примеры плз
0
Именно здесь нет про нахакать, есть про то, как зловред связывается с центром управления:
Про нахакать, смотрите например CVE-2009-1925.
Malware обладает развитыми возможностями сетевой коммуникации на основе стека наиболее распространных протоколов ICMP, UDP, TCP, DNS, SMTP и HTTP
Про нахакать, смотрите например CVE-2009-1925.
0
Как же вас много здесь на этом сайте, заметили нестоковку и скорее бежите постить свой ценный комментарий.
0
Ну вы-то не такой, вы ничего ценного не постите.
За это в первую очередь и любят хабр (ну или по крайней мере любили до Read&Comment) — за качественные комментарии, которые разберут статью по косточкам и исправят все ошибки и недочеты, а заодно подкинут кучу материалов и размышлений на тему.
0
Именно так, профессиональный троль. Как раз вносит искру жизни в это царство карaмдрoчeрoв.
Качественные комментарии от школьных тро-ло-ло?! О чем вы батенька?
Разбор статьи по косточкам? О каких статьях идет речь? О заказных статьях рекламного характера, коих тут много или о тех убогих описаниях как сделать компутор из дедушкиной табакерки?
К слову, есть весьма крутые статьи и весьма интересные, но их весьма мало.
Качественные комментарии от школьных тро-ло-ло?! О чем вы батенька?
Разбор статьи по косточкам? О каких статьях идет речь? О заказных статьях рекламного характера, коих тут много или о тех убогих описаниях как сделать компутор из дедушкиной табакерки?
К слову, есть весьма крутые статьи и весьма интересные, но их весьма мало.
-1
Раз уж зашла речь о ценных комментариях, строки с шаблонами имен файлов явно не рассчитаны на мои 1280 по горизонтали (да, у некоторых 17-дюймовые мониторы все еще не рассыпались в пыль от старости).
0
локализовать и отправлять своим создателям ключи шифрования со скомпрометированных систем
С интересом почитаю про локализацию ключей шифрования.
С интересом почитаю про локализацию ключей шифрования.
0
Это получается одно и то же вредоносное ПО для шпионажа что и тут https://habrahabr.ru/company/eset/blog/307372/?
0
Да вроде разное. Тот заражал через бажный драйвер аутпоста, а этот — это какой-то «фильтр паролей» (честно говоря впервые слышу, что это такое?)
0
Почитать о нем можно вот здесь msdn
если коротко — способ накатить в windows политику паролей ( сложность — длина, содержащиеся символы и т.д.)
Хорошая, мощная дырка в безопасности, т.к. пароли эта библиотека получает в открытом виде, остается только понять, откуда пришел вызов смены пароля.
если коротко — способ накатить в windows политику паролей ( сложность — длина, содержащиеся символы и т.д.)
Хорошая, мощная дырка в безопасности, т.к. пароли эта библиотека получает в открытом виде, остается только понять, откуда пришел вызов смены пароля.
0
Для каждой атакованной цели использовался уникальный алгоритм, что делало невозможным обнаружение других копий ПО после обнаружения одной из них по определенному индикатору.
— неужели где-то имеется неисчерпаемый источник уникальных алгоритмов?
0
В любое место программы NOP добавьте — и будет вам новый, уникальный, алгоритм.))
+1
Думаю подобный шум отфильтровать не проблема. Новый алгоритм, все таки новая логика работы, NOP никак логику не меняет.
0
Ну, про NOP — я утрирую, разумеется.)
А в данном случае под «индикаторами», возможно, имеются в виду чисто сигнатурные вещи: имена и хэш-суммы файлов, куски ассемблерного кода, мьютексы, адреса C&C-серверов и т. п. Всё вышеперечисленное, разумеется, без особого труда может быть изменено для каждой атакуемой цели, что с успехом подтверждают, например, производители разнообразных вирусов-шифровальщиков.)
А в данном случае под «индикаторами», возможно, имеются в виду чисто сигнатурные вещи: имена и хэш-суммы файлов, куски ассемблерного кода, мьютексы, адреса C&C-серверов и т. п. Всё вышеперечисленное, разумеется, без особого труда может быть изменено для каждой атакуемой цели, что с успехом подтверждают, например, производители разнообразных вирусов-шифровальщиков.)
+1
Пока не было ни одной версии, какая же страна или группа стран оплатили такую разработку.
0
А вы таки не догадываетесь?
0
Ну, была бы это публикация про то, что у диспетчеров энергосети мышка сама по экрану поползла ( https://geektimes.ru/post/272232/ ), версии бы начали строить ровно через 100 мс после публикации, без доказательств, но зато со «100% надежной» ссылкой на то, что в коде вируса нашли матерное слово на русском. А здесь, я смотрю, молчок ))
0
Для платформы разработано более 50 модулей-плагинов, расширяющих возможность центрального элемента;
Напомнило модульный вирус Стакс из книги «Хакеры 2.» Чубарьяна
0
Sign up to leave a comment.
ProjectSauron: кибершпионское ПО, взламывающее зашифрованные каналы связи госорганизаций