Вредонос GZipDe распространяет бэкдор на базе Metasploit - Proxy-Base Community - Анонимность и безопасность в интернете.
Бесплатные прокси. Количество:
Прокси для пользователей форума (API). Количество:
Купить доступ к прокси-листам (API). Количество:
 



Информация по хайдам / репутации

(РЕКОМЕНДУЮ) №1 >>>DDos Атака<<|>>DDoS Service<<< ДДОС СЕРВИС<<|>>Заказать DDOS
Все инфопродукты и приватная информация бесплатно
Старый 29.06.2018, 20:00   #1 (permalink)
VPN
 
Аватар для Proxy-Base-News
 
Регистрация: 16.09.2015
Сообщений: 1,492
Member ID: 35426

Репутация: 21
Репутация: 21
Сказал(а) спасибо: 0
Поблагодарили 7 раз(а) в 7 сообщениях
Топикстартер (автор темы) По умолчанию Вредонос GZipDe распространяет бэкдор на базе Metasploit

Аналитики компании AlienVault рассказали об обнаружении малвари GZipDe, очевидно, применяющейся для направленных кибершпионских атак.

Угрозу впервые заметили лишь на прошлой неделе, когда пользователь из Афганистана загрузил на VitusTotal вредоносный документ Word, повествующий о саммите Шанхайской организации сотрудничества*(ШОС). Исследователи полагают, что целью неизвестных злоумышленников, вероятно, был сотрудник какого-то посольства в Афганистане, так как сам документ-приманка написан на английском языке.

Вначале атаки GZipDe действует по уже классической схеме: пользователя обманом и хитростью вынуждают открыть документ и включить макросы, после чего происходит исполнение скрипта Visual Basic, PowerShell*кода и загрузка исполняемого файла в формате PE32. По завершении этих процедур на машину попадает сам GZipDe.

Согласно данным AlienVault, малварь написана на .NET и использует кастомный метод шифрования для обфускации и уклонения от обнаружения. При этом, в сущности, GZipDe является лишь загрузчиком, то есть его задача – загрузить на машину жертвы некую малварь с удаленного сервера злоумышленников. И хотя сервер, с которого должна была скачиваться эта вторичная угроза, был недоступен, исследователи воспользовались поисковиком Shodan и с его помощью установили, что сервер ранее проходил индексирование, и на нем размещался пейлоад Metasploit.

Исследователи рассказывают, что функциональность Metasploit использовалась злоумышленниками в качестве замены бэкдору. Шеллкод загружал в память DLL целиком, не оставляя практически никаких следов на дисках зараженной машины. «К примеру, он мог собирать данные о системе и связываться с управляющим сервером, ожидая дальнейших команд», — пишут специалисты. Также атакующие могли воспользоваться и любым другим пейлоадом, например, для повышения привилегий и системе или продвижения в локальную сеть.

Эксперты AlienVault отмечают, что преступники не так уж редко используют легитимную функциональность Metasploit в собственных целях. К примеру, к подобной тактике прибегает известная хакерская группировка Turla. Исследователи признают, что это значительно затрудняет установление источников атак и позволяет злоумышленникам тратить куда меньше времени и сил для достижения целей.

Источник: https://xakep.ru/2018/06/25/gzipde/
Proxy-Base-News вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Вкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Обнаружен самый сложный PoS-вредонос - ModPOS Proxy-Base-News Новости IT 0 25.11.2015 02:00
Ищу модуль autopwn для Metasploit toorook Уязвимости 2 23.09.2013 04:19
Обновить Metasploit в Linux. toorook Системы и сети, взлом и защита, анонимность в сети 1 10.06.2013 20:01
Проблемы при установке Metasploit kenni SOFT (Варезник) 3 23.12.2012 15:17
The Metasploit Ha_Vi Системы и сети, взлом и защита, анонимность в сети 10 11.01.2012 17:00




DDoS Protected




Мы в твиттере, Proxy-Base.Org Twitter

Proxy-Base Community - Анонимность и безопасность в интернете.
Наши партнеры: CRC Labs, SEO-Crack.Com, Garsuk.Com, SED Team, Skladchik.com, BSS Family

Powered by vBulletin® | Булка сделана в пекарне®
Copyright © 2000 - , Jelsoft Enterprises Ltd. Перевод: zCarot
Вся информация на сайте выложена исключительно в ознакомительных целях.