Artykuły dotyczące tematu: backdoor

dodany: 29.07.2013 | tagi: ,

Lenovo z gratisowym backdoorem

6

Wiele krajów ma coraz większe obawy w przypadku sprzętu komputerowego wyprodukowanego w Chinach. Pisaliśmy o takiej możliwości w sprzęcie Huawei, gdzie ostatecznie wykluczono tego dostawcę rozwiązań sieciowych (zobacz newsa: Złe wiadomości dla Huawei i ZTE).

Tym razem sprawa dotyczy samych laptopów produkcji Lenovo – padły podejrzenia, że w oprogramowaniu sprzętowym tej firmy znajduje się tylna furtka, czyli tzw. backdoor. Jak się okazało już w 2006 roku Departament USA wycofał się z korzystania z 16 tysięcy maszyn z logo Lenovo. Podobnie postąpiła Australia, która wykluczyła sprzęt tej firmy, który miał styczność z poufnymi danymi. Nie inaczej postąpiła Nowa Zelandia, Kanada oraz Wielka Brytania.

Chodzi konkretnie o typowo szpiegowskie organizacje – w przypadku USA jest to NSA, a w Australii odpowiednikiem jest ASIS (z ang. Australian Secret Intelligence Service). Według testów, których wyniki zostały dopiero teraz odtajnione, maszyny wyprodukowane przez Lenovo pozwalały na pełną zdalną manipulację.

Podobnie było z Huawei, których sprzęt łączył się regularnie z serwerami zlokalizowanymi w Holandii. Rzekomy interwał 15 minut według producenta był spowodowany sprawdzaniem aktualizacji oprogramowania… Jest to o tyle sprzeczne, że sprzęt i tak sam z siebie nie oferował automatycznej aktualizacji.

dodany: 30.04.2013 | tagi: , ,

Kolejny backdoor atakujący Apache

0

Daniel Cid z Sucuri poinformował o odkryciu kolejnego backdoora atakującego Apache, popularny serwer HTTP. Jak wyjaśnia, przez ostatnie miesiące Sucuri było zajęte śledzeniem Darkleecha. Podczas tego czasu zaczęto zauważać zmiany w wektorze ataku. Na serwerach z cPanelem, zamiast dodać własny moduł albo modyfikować konfigurację Apache, atakujący zastępowali plik wykonywalny serwera o nazwie httpd własnym, oczywiście złośliwym.

Tym razem sprawdzenie integralności plików za pomocą menedżera pakietów może nie wystarczyć, jako że cPanel instaluje serwer Apache w innym miejscu. Pewnym sposobem jest sprawdzenie daty utworzenia pliku. Ponadto jeśli za pomocą grepa znajdziecie frazę open_tty w /usr/local/apache, najprawdopodobniej serwer jest zarażony, gdyż oryginalny plik nie zawiera takiego łańcucha. Przed zastąpieniem złośliwego pliku właściwym, należy wykonać polecenie chattr -ai /usr/local/apache/bin/httpd, w innym przypadku system poinformuje o braku odpowiednich uprawnień.

Więcej informacji o skutkach infekcji można znaleźć na blogu Sucuri oraz ESET.

dodany: 26.02.2013 | tagi: ,

Włamanie na serwer supportu cPanel i tajemniczy backdoor

4

Po odkryciu włamania na jeden z serwerów, autorzy cPanel, popularnego panelu do zarządzania hostingiem, proszą niektórych swoich klientów o zmianę hasła użytkownika root.

Z wiadomości wysłanej do klientów, którzy przez ostatnie 6 miesięcy kontaktowali się ze wsparciem technicznym, można dowiedzieć się o włamaniu na maszynę przeznaczoną do przetwarzania zgłoszeń użytkowników. Treść wiadomości:

Chociaż nie wiemy czy Pańska maszyna jest dotknięta problemem, prosimy o zmianę hasła root, jeżeli nie korzystają Państwo z kluczy SSH. Jeżeli do uzyskania praw administratora za pomocą „sudo” albo „su” używane jest nieuprzywilejowane konto, również polecamy zmianę hasła.

Nadal nie wiadomo jak doszło do włamania, czy wyciekły dane klientów, i czy firma szyfrowała hasła. Jak powszechnie wiadomo, odwrócenie procesu haszowania to tylko kwestia czasu.
Firma nie poinformowała ilu użytkowników cPanel może być zagrożonych. Włamanie może być bardzo poważne i dotknąć gigantyczną liczbę serwerów opartych na systemach uniksopochodnych.

 

Zagadkowy backdoor

Całe zdarzenie wiąże się z backdoorem znajdywanym na różnych serwerach z zainstalowanym cPanelem. Dopiero niedawno obie sprawy zostały powiązane.

Specjaliści z Internet Storm Center poinformowali o wyjątkowym backdoorze znalezionym na serwerach działających pod kontrolą Linuksa. Zarażone są głównie systemy korzystające z pakietów RPM i prawdopodobnie powiązane są one z włamaniem na serwer wsparcia technicznego cPanel.

Intruzi zastąpili bibliotekę libkeytuils odpowiednio spreparowaną wersją, która zapisuje nazwy użytkowników i sparowane hasła wysyłane przez sieć, jednocześnie służąc za backdoora do wykorzystania w późniejszym czasie. Metoda ta jest mniej zauważalna od swoich poprzedniczek, które zastępowały w całości proces sshd.

Dzięki menedżerowi pakietów można sprawdzić, czy dany serwer jest zarażony. Za pomocą poniższego polecenia można sprawdzić nazwę pakietu zawierającego zagrożoną bibliotekę:
   rpm -qf /lib/libkeyutils-*

Następnie należy zweryfikować integralność pakietu poleceniem:
rpm -V nazwa-pakietu

Weryfikacja polega na porównaniu sum kontrolnych MD5 plików na dysku z tymi zapisanymi w bazie danych. Na serwerach korzystających z Debiana, narzędzie debsums dostarcza podobną możliwość. Teoretycznie rootkit może zmodyfikować sumy kontrolne w bazie tak, aby pozostać niewykrytym, ale na badanych systemach tak się nie stało.

dodany: 15.02.2013 | tagi: , ,

Haktywiści atakują Ujgurów wykorzystując lukę w pakiecie MS Office dla Mac OS X

0
Haktywiści atakują Ujgurów wykorzystując lukę w pakiecie MS Office dla Mac OS X

Odkryto kampanię ataków typu spear-phishing skierowaną przeciwko Ujgurom, w której wysyłano e-maile zawierające złośliwy dokument, który wykorzystywał lukę w zabezpieczeniach pakietu Microsoft Office dla Mac OS X i tworzył backdoory.

Według badań przeprowadzonych przez Kaspersky Lab i AlienVault, e-maile z atakami spear-phishing były wysyłane do Ujgurów lub ich sympatyków korzystających z komputerów Apple’a.

Ujgurzy to grupa etniczna mieszkająca głównie we Wschodniej i Środkowej Azji, głównie w Regionie Autonomicznym Xinjiang Ujgur w Chinach. Dlaczego oni? Bo ludzie ci chcą odłączyć się zupełnie od Chin i stworzyć niepodległe państwo.

fakedoc-617x685Źródło: Kaspersky Lab

Luka wykorzystywana przez złośliwy dokument umożliwia uruchomienie złośliwego kodu na atakowanym komputerze, na którym użytkownik nie wykonał potrzebnej aktualizacji.

Sam dokument ma ciekawą nazwę: Obawy dotyczące Podstawowych Praw Ujgurów pod Nowymi Rządami Chin oraz Informacja Prasowa na temat Okolicznościowego Dnia Żałoby. Po otwarciu dokumentu następuje instalacja backdoora na zainfekowanym komputerze umożliwiając tym samym hakerom zdalne kontrolowanie i szpiegowanie działalności danego użytkownika.

dodany: 29.11.2012 | tagi: , , ,

Tylna furtka w sieciowych drukarkach Samsunga

3

Okazało się, że drukarki Samsunga wyposażone w kartę WiFi mają tylną furtkę, która pozwala atakującemu przejąć w pełni kontrolę nad urządzeniem. Problem dotyczy ukrytego konta administratora, którego standardowe hasło to: „“s!a@m#n$p%c”. Konto jest cały czas aktywne, nawet gdy w ustawieniach drukarki mamy wyłączoną obsługę protokołu SNMP.

Problem ten nie dotyczy tylko produktów sygnowanych logiem Samsunga, ale także wybranych modeli drukarek Della, które są faktycznie produkowane przez koreańskiego potentata elektroniki.

Niebezpieczeństwo to dotyczy wszystkich modeli Samsunga wyprodukowanych przed 31 października tego roku. Niestety takiej informacji nie ma dla drukarek Della.

Samsung do czasu wydania poprawionych firmware’ów zaleca wyłączenie protokołów SNMP w wersjach 1 i 2 oraz ewentualnie zezwolenie na bezpieczną wersję 3 Simple Network Management Protocol.

Oprócz tego zaleca się włączenie dostępu tylko dla zaufanych adresów oraz zablokowanie portu  UDP 1118 (SNMP trap).

 

 

dodany: 24.10.2012 | tagi: ,

Backdoor w Google Drive

1

Aplikacja Google Drive w pewnym sensie stanowi backdoor do kont serwisu. Dlaczego? Użytkownicy, którzy używają desktopowej aplikacji mają możliwość bezpośredniego przejścia do wersji webowej bez podawania loginu i hasła. Przez to można uzyskać dostęp nie tylko do usługi dysku w chmurze Google, ale także do wszystkich skonfigurowanych serwisów, w tym także poczty. Zapewnia to opcja dostępna w narzędziu synchronizującym dane.

Nawet w przypadku użycia opcji wylogowania z usługi bezpośrednio w przeglądarce, po ponownym użyciu polecenia „Odwiedź Google Drive w sieci” (Visit Google Drive on the web), nie zostaniemy zapytani o poświadczenia. Problem leży zarówno w wersji pod system Windows jak i Mac OS.

Sam program wymaga jednorazowego podania danych do logowania. Nawet używanie dwustopniowego uwierzytelniania nie chroni przed koniecznością zalogowania, jeśli na komputerze jest włączony klient synchronizacji. Miejmy nadzieję, że Google coś z tym zrobi – odpowiedni trojan może w łatwy sposób uzyskać dostęp do wszystkich usług.

dodany: 12.10.2012 | tagi: , , ,

Malware uderza ponownie

0

Jeśli użytkownikom Skype nie wypadły jeszcze wszystkie włosy z głowy, to radzimy w tej chwili zaprzestać czytania tego tekstu, ponieważ mamy dla was złą wiadomość.

Cyberkryminaliści, którzy najwidoczniej ukochali bombardowanie użytkowników Skype, teraz użyli wiadomości e-mail, udając, że nadawcą jest Skype. W wiadomościach użytkownik może przeczytać, że zmienił hasło.

Redakcja Naked Security opublikowała jeden z takich maili:

Jeśli przyjrzycie się dokładnie, zauważycie, że spamerzy nie byli przykładnymi uczniami, gdy chodziło o poprawne pisanie w języku angielskim. W przełożeniu na polski brzmiało by to mniej więcej tak:

„Hasło zostało zmienione.

Twoje nowe hasło zostało ustawione.

Teraz możesz przeglądać załączoną historię połączeń oraz insktrucję, jak zmienić ustawienia konta. Jeśli zmiany opisane powyżej są poprawne, nie będą potrzebne dalsze działania. Jeśli coś nie wygląda poprawnie, kliknij poniższy link w celu zmiany: Przywróć hasło,

do usłyszenia,

Ludzie ze Skype”.

Co może zaskakiwać, linki faktycznie prowadzą do strony internetowej Skype. Jednak jeśli  plik „Skype_Password_insctructions.zip” załączony do wiadomości e-mail zostanie pobrany, rozpakowany i po otwarciu jego zawartości „Skype_Password_inscructions.pdf.exe” istnieje wysokie ryzyko zainfekowania systemu Windows.

Złośliwe oprogramowanie, które zostało wykryte przez produkty Sophos jako Troj/Backdr-HN, które otwiera tylną furtkę do komputera i pozwala na zdalny dostęp do komputera hakerom.

Cała ta szopka z  e-mailem potwierdzającym zmianę hasła ma budzić panikę u użytkowników, którzy i tak już są bliscy załamania nerwowego. Mając w pamięci ostatnie wydarzenia użytkownik ze strachu otworzy załącznik i jego zawartość.

Pamiętajcie, żeby na takie e-maile „znikąd” brać jak nie podwójną, to potrójną poprawkę. No i patrzcie na rozszerzenia i bierzcie je na logikę, pdf.exe ? Takie rzeczy to tylko u cyberprzestępców!

Screen umieszczony dzięki Naked Security.