Обнаружены уязвимости в некоторых RAT

image

Распространённые трояны, которые используются злоумышленниками для удалённого администрирования систем (Remote Administration Tools, RAT), содержат ряд типичных уязвимостей, которые можно использовать для слежения за самими злоумышленниками. Двое сотрудников компании Matasano Security опубликовали исследование (pdf) с анализом используемых протоколов, способами расшифровки трафика и анализом уязвимостей в популярных RAT. Они также разработали концептуальные эксплойты, позволяющие перехватывать и расшифровывать трафик, который передают эти программы с компьютеров жертв.

В опубликованной работе осуществлён анализ четырёх доступных RAT: это DarkComet, Bandook, CyberGate и Xtreme. Как выяснилось, все они частично или полностью написаны в Delphi. Все они используют клиент-серверную архитектуру с установкой сервера на компьютере жертвы (“reverse-connecting” architecture), применяют криптографическую защиту или обфускацию коммуникаций. Но каждая из них содержит определённые уязвимости.

DarkComet — одна из самых популярных RAT-программ, она использовалась в том числе сирийскими властями для слежки за политической оппозицией. Исследователи провели реверс-инжиниринг протокола, написали собственный «сервер» для тестирования, успешно проверили SQL-инъекцию на клиентский модуль DarkComet (информация хранится в базе данных SQLite), проверили возможность изменения информации в базе данных. Исследователи также сделали экслойт для копирования всей информации из собранной злоумышленником базы данных, используя уязвимости в протоколе DarkComet.

Bookmark and Share

Программа Bandook RAT написана на C++ и Delphi, имеет ограниченную функциональность, но может скачивать дополнительные плагины. Протокол коммуникации между клиентом и сервером не зашифрован, а обфусцирован с помощью XOR’ов.

Обнаружены уязвимости в некоторых RAT

Эта программа использует VNC-клиент TightVNC 1.2.9.0, для которого существует известная уязвимость.

В приложении к исследованию авторы опубликовали готовые скрипты, которые можно использовать для MITM-атак на Bandook, CyberGate и Xtreme, а также скрипт SQL-инъекции для DarkComet.

Подробнее: http://www.xakep.ru/post/59477/default.asp

Читать комменты и комментировать

Добавить комментарий / отзыв



Защитный код
Обновить

Обнаружены уязвимости в некоторых RAT | | 2012-10-15 12:37:00 | | Статьи об Интернет безопасности | | Распространённые трояны, которые используются злоумышленниками для удалённого администрирования систем (Remote Administration Tools, RAT), содержат ряд типичных уязвимостей, которые можно | РэдЛайн, создание сайта, заказать сайт, разработка сайтов, реклама в Интернете, продвижение, маркетинговые исследования, дизайн студия, веб дизайн, раскрутка сайта, создать сайт компании, сделать сайт, создание сайтов, изготовление сайта, обслуживание сайтов, изготовление сайтов, заказать интернет сайт, создать сайт, изготовить сайт, разработка сайта, web студия, создание веб сайта, поддержка сайта, сайт на заказ, сопровождение сайта, дизайн сайта, сайт под ключ, заказ сайта, реклама сайта, хостинг, регистрация доменов, хабаровск, краснодар, москва, комсомольск |
 
Поделиться с друзьями: