Обнаружены уязвимости в некоторых RAT
Распространённые трояны, которые используются злоумышленниками для удалённого администрирования систем (Remote Administration Tools, RAT), содержат ряд типичных уязвимостей, которые можно использовать для слежения за самими злоумышленниками. Двое сотрудников компании Matasano Security опубликовали исследование (pdf) с анализом используемых протоколов, способами расшифровки трафика и анализом уязвимостей в популярных RAT. Они также разработали концептуальные эксплойты, позволяющие перехватывать и расшифровывать трафик, который передают эти программы с компьютеров жертв.
В опубликованной работе осуществлён анализ четырёх доступных RAT: это DarkComet, Bandook, CyberGate и Xtreme. Как выяснилось, все они частично или полностью написаны в Delphi. Все они используют клиент-серверную архитектуру с установкой сервера на компьютере жертвы (“reverse-connecting” architecture), применяют криптографическую защиту или обфускацию коммуникаций. Но каждая из них содержит определённые уязвимости.
DarkComet — одна из самых популярных RAT-программ, она использовалась в том числе сирийскими властями для слежки за политической оппозицией. Исследователи провели реверс-инжиниринг протокола, написали собственный «сервер» для тестирования, успешно проверили SQL-инъекцию на клиентский модуль DarkComet (информация хранится в базе данных SQLite), проверили возможность изменения информации в базе данных. Исследователи также сделали экслойт для копирования всей информации из собранной злоумышленником базы данных, используя уязвимости в протоколе DarkComet.
Программа Bandook RAT написана на C++ и Delphi, имеет ограниченную функциональность, но может скачивать дополнительные плагины. Протокол коммуникации между клиентом и сервером не зашифрован, а обфусцирован с помощью XOR’ов.
Эта программа использует VNC-клиент TightVNC 1.2.9.0, для которого существует известная уязвимость.
В приложении к исследованию авторы опубликовали готовые скрипты, которые можно использовать для MITM-атак на Bandook, CyberGate и Xtreme, а также скрипт SQL-инъекции для DarkComet.
Подробнее: http://www.xakep.ru/post/59477/default.asp
Дайджест новых статей по интернет-маркетингу на ваш email
Новые статьи и публикации
- 2024-03-13 » Стратегии SEO на 2024 год
- 2024-03-13 » Как использовать анимацию с помощью JavaScript-библиотеки GSAP
- 2024-03-13 » Использование GSAP 3 для веб-анимации
- 2024-03-13 » Cогласование топографической съёмки с эксплуатирующими организациями
- 2024-02-19 » Теряются лиды? Как настроить сквозную аналитику
- 2024-02-17 » Мерч и IT: на что обратить внимание в 2024 году
- 2024-02-16 » Копируем с RSync: основные примеры синхронизации файлов
- 2024-02-15 » Лучшие noCode AI платформы для создания диалоговых ботов
- 2024-02-14 » Факторы ранжирования Google 2024 — исследование Semrush
- 2024-02-12 » Перенос сайта на другой хостинг
- 2024-02-05 » В России сформирован реестр хостинг-провайдеров
- 2024-02-04 » Использование SSH для подключения к удаленному серверу Ubuntu
- 2024-02-03 » Подключаемся к серверу за NAT при помощи туннеля SSH. Простая и понятная инструкция
- 2024-02-02 » Настройка CI/CD для Gitlab-репозитория: схемы и гайд по шагам
- 2024-02-01 » GitLab CI Pipeline. Запуск сценария через SSH на удаленном сервере
- 2024-01-29 » Introduction to GitLab’s CI/CD for Continuous Deployments
- 2024-01-26 » Настройка GitLab CI/CD
- 2024-01-25 » Установка shell gitlab runner
- 2024-01-25 » Установка и регистрация gitlab-runner в docker контейнере
- 2024-01-25 » Переменные Gitlab-Ci
- 2024-01-25 » Настройка CI/CD в GitLab для синхронизации проекта с веб-серверами
- 2024-01-25 » Копирование файлов scp
- 2024-01-21 » Бездепозитные бонусы от казино: обзор условий и правил использования
- 2024-01-18 » Современная обработка ошибок в PHP
- 2024-01-18 » Пример шаблона проектирования MVC в PHP
- 2024-01-18 » Мифический человеко-DevOps
- 2023-12-28 » Google подвел итоги 2023 года в поиске
- 2023-12-28 » 5 ошибок отдела продаж, из-за которых вы теряете клиентов
- 2023-12-28 » Американский суд признал монополию Google на рынках дистрибуции Android-приложений
- 2023-12-28 » Хостинг-провайдер GoDaddy перестанет оказывать услуги пользователям из России
Полезнее знать несколько мудрых правил, которые всегда могли бы служить тебе, чем выучиться многим вещам, для тебя бесполезным Сенека Луций Анней - (1 до н. э. / 1 н. э.- 65 н. э.) - римский государственный деятель, писатель, философ |
Мы создаем сайты, которые работают! Профессионально обслуживаем и продвигаем их , а также по всей России и ближнему зарубежью с 2006 года!
Как мы работаем
Заявка
Позвоните или оставьте заявку на сайте.
Консультация
Обсуждаем что именно Вам нужно и помогаем определить как это лучше сделать!
Договор
Заключаем договор на оказание услуг, в котором прописаны условия и обязанности обеих сторон.
Выполнение работ
Непосредственно оказание требующихся услуг и работ по вашему заданию.
Поддержка
Сдача выполненых работ, последующие корректировки и поддержка при необходимости.