Опубликован (https://www.nccgroup.com/en/blog/2014/10/analysis-of-the-lin.../) анализ бэкдора, который в результате взлома (https://www.opennet.ru/opennews/art.shtml?num=40585) серверов IRC-сети Freenode был внедрён для оставления скрытого входа в систему. Для активации доступа злоумышленников к бэкдору использовалась техника "port knocking", при которой после отправки специально оформленного набора пакетов, сервер инициировал канал связи к заявившему о себе узлу злоумышленников. Для скрытия информации в канале связи применялось шифрование. Такой подход позволил не привязывать бэкдор к IP-адресам управляющих узлов. Выявлением в трафике активирующей бэкдор последовательности пакетов занимался специально подготовленный модуль ядра ipt_ip_udp, использующий подсистему netfilter для перехвата пакетов.
<center><a href="https://www.nccgroup.com/media/481525/dc-blog-1.png">... src="https://www.opennet.ru/opennews/pics_base/0_1413350904.png" style="border-style: solid; border-color: #e9ead6; border-width: 15px;max-width:100%;" title="" border=0></a></center>URL: https://www.nccgroup.com/en/blog/2014/10/analysis-of-the-lin.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=40829
Бэкдор, порткнокинг, это всё прекрасно, но как они получили шелл, да ещё и рутовый (чтобы правила для iptables рисовать)??
Ну как обычно такое делают? Наверняка кто-то из админов использовал putty.exe.
putty.exe сам транслирует логины и пароли рутовые? А если намек на то что раз putty.exe значит винда, а раз винда значит кейлогер/троян. То в общем от аппаратного кейлогера вообще никто не защищен =) А еще гораздо проще просто с людьми договорится/запугать/заплатить и получить нужные данные. И тогда хоть путти.ехе хоть пусси.ехе...
> специально подготовленный модуль ядра ipt_ip_udpНормально так :). Теперь пропатчить немного троян, чтобы отгружал злодею пробэкдореные или фэйковые файлы и сделать вид что бэкдор не нашли. Попутно делая за кадром троллфэйс.
А сорцы ipt_ip_udp где?
Реверс-инжиниринг, же.
