Slingshot - atak APT infekujący Windows przez routery MikroTik
#1
Jak donosi Kaspersky, zaawansowany atak trwający od 2012 roku aż do teraz zainfekował około 100 ofiar w celu szpiegowania, a cała akcja opierała się na błędach w systemach Windows i RouterOS, czyli systemu dla routerów od MikroTik. Atak przeprowadzony przez bardzo zaawansowaną grupę na wąskie grono ofiar, więc prawdopodobnie przez organizacje rządową.

W skrócie, jak przebiegał atak?
- Przestępcy infekowali RouterOs na sprzęcie ofiary.
- Ofiara podłącza się do routera przez narzędzie WinBox.
- Winbox pobiera podmienioną DLLkę na komputer ofiary i uruchamia.
- Szkodliwa DLLka pobiera kolejny malware i uruchamia.
- Malware Lokuje się w systemie wykorzystując podatności w Windowsie.
- Malware szpieguje zainfekowanego użytkownika.

Mikrotik Załatał dziury, Winbox już nie pobiera DLLek na system ofiary.
Winboxa można przetestować, ściągając i logując się do serwera demo, IP 159.148.147.211, login admin, brak hasła.

Oryginalny artykuł tutaj:

[Aby zobaczyć linki, zarejestruj się tutaj]


A teraz ciekawostki ode mnie:
Wciąż nie wiadomo, jak pierwotnie zainfekowano MikroTiki, a przynajmniej ja nie mogę się tego doczytać. Albo błąd w konfiguracji urządzenia (ktoś zostawił otwarty Telnet?), albo jakiś wciąż niezałatany exploit na Mikusie wciąż może wisieć Suspicious
Kaspersky wspomina, że 'Malicious Library is loaded by a process with SYSTEM privileges' - A na ile jestem w stanie teraz ocenić, Winbox hula z uprawnieniami użytkownika. Więc albo ja coś źle robię i nie rozumiem, albo to działało zupełnie inaczej w 2012, albo zainfekowani użytkownicy śmigali na systemie z uprawnieniami Admina i ubitym UAC Suspicious
Człowiek, któremu zazdroszczą najlepszych pomysłów na sygnatury...
Odpowiedz
#2
(18.03.2018, 19:54)M'cin napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

albo zainfekowani użytkownicy śmigali na systemie z uprawnieniami Admina i ubitym UAC Suspicious
Jest tyle różnych obejść UAC, których Microsoft nie łata, bo nie uznaje go za samodzielne "security boundary", że nie widzę w tym miejscu problemu.
Trudniej jest podnieść uprawnienia z konta zwykłego użytkownika (nie należącego do grupy Administratorzy).
Odpowiedz
#3
dlatego też napisałem o uprawnieniach Admina i UAC, nie 'lub' Smile
Człowiek, któremu zazdroszczą najlepszych pomysłów na sygnatury...
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości