Slingshot - atak APT infekujący Windows przez routery MikroTik - Wersja do druku +- SafeGroup (https://safegroup.pl) +-- Dział: Publikacje (https://safegroup.pl/forum-27.html) +--- Dział: Aktualności (https://safegroup.pl/forum-28.html) +--- Wątek: Slingshot - atak APT infekujący Windows przez routery MikroTik (/thread-11390.html) |
Slingshot - atak APT infekujący Windows przez routery MikroTik - M'cin - 18.03.2018 Jak donosi Kaspersky, zaawansowany atak trwający od 2012 roku aż do teraz zainfekował około 100 ofiar w celu szpiegowania, a cała akcja opierała się na błędach w systemach Windows i RouterOS, czyli systemu dla routerów od MikroTik. Atak przeprowadzony przez bardzo zaawansowaną grupę na wąskie grono ofiar, więc prawdopodobnie przez organizacje rządową. W skrócie, jak przebiegał atak? - Przestępcy infekowali RouterOs na sprzęcie ofiary. - Ofiara podłącza się do routera przez narzędzie WinBox. - Winbox pobiera podmienioną DLLkę na komputer ofiary i uruchamia. - Szkodliwa DLLka pobiera kolejny malware i uruchamia. - Malware Lokuje się w systemie wykorzystując podatności w Windowsie. - Malware szpieguje zainfekowanego użytkownika. Mikrotik Załatał dziury, Winbox już nie pobiera DLLek na system ofiary. Winboxa można przetestować, ściągając i logując się do serwera demo, IP 159.148.147.211, login admin, brak hasła. Oryginalny artykuł tutaj: [Aby zobaczyć linki, zarejestruj się tutaj] A teraz ciekawostki ode mnie: Wciąż nie wiadomo, jak pierwotnie zainfekowano MikroTiki, a przynajmniej ja nie mogę się tego doczytać. Albo błąd w konfiguracji urządzenia (ktoś zostawił otwarty Telnet?), albo jakiś wciąż niezałatany exploit na Mikusie wciąż może wisieć Kaspersky wspomina, że 'Malicious Library is loaded by a process with SYSTEM privileges' - A na ile jestem w stanie teraz ocenić, Winbox hula z uprawnieniami użytkownika. Więc albo ja coś źle robię i nie rozumiem, albo to działało zupełnie inaczej w 2012, albo zainfekowani użytkownicy śmigali na systemie z uprawnieniami Admina i ubitym UAC RE: Slingshot - atak APT infekujący Windows przez routery MikroTik - bluszcz - 18.03.2018 (18.03.2018, 19:54)M'cin napisał(a):Jest tyle różnych obejść UAC, których Microsoft nie łata, bo nie uznaje go za samodzielne "security boundary", że nie widzę w tym miejscu problemu. Trudniej jest podnieść uprawnienia z konta zwykłego użytkownika (nie należącego do grupy Administratorzy). RE: Slingshot - atak APT infekujący Windows przez routery MikroTik - M'cin - 18.03.2018 dlatego też napisałem o uprawnieniach Admina i UAC, nie 'lub' |