Руткит с бэкдором
Sep. 7th, 2016 09:13 am![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
vitus_wagnerHа слэшдоте пишут про некий руткит для Linux, активно продающийся на черном рынке:
Это даже не вор у вора дубинку украл. Но в общем вполне естественно, что если некто продает инструменты для незаконного проникновения на чужие компьютеры, непонятно почему он должен относиться к их покупателям по другому, чем к тем, к кому покупатели эти средства собрались применять.
Umbreon also has a backdoor component called Espereon, named after another Pokemon character, that can establish a reverse shell to an attacker's machine when a TCP packet with special field values are received on the monitored Ethernet interface of an affected device.
Это даже не вор у вора дубинку украл. Но в общем вполне естественно, что если некто продает инструменты для незаконного проникновения на чужие компьютеры, непонятно почему он должен относиться к их покупателям по другому, чем к тем, к кому покупатели эти средства собрались применять.
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
no subject
Date: 2016-09-07 10:18 am (UTC)Мне всегда казалось, что это - запустить шелл на жертве и передать управление в стрим на управляющую машину.
Надо быть полным идиотом, чтобы кого-то ломать из дома (что вызывает лично у меня противоречивые чувства на все сообщения о поимке зловещего хакира Zиро, но к делу не относится). Какой еще вред покупателю ты видишь ?
no subject
Date: 2016-09-07 10:37 am (UTC)А какая разница вообще-то вендору руткита, домашняя машина покупателя это или взломаный им еще чей-нибудь сервер?
Yet another узел в ботнете лишним не будет.
no subject
Date: 2016-09-07 11:12 am (UTC)no subject
Date: 2016-09-07 11:14 am (UTC)no subject
Date: 2016-09-14 09:20 am (UTC)no subject
Date: 2016-09-07 02:15 pm (UTC)«
Umbreon also has a backdoor component called Espeon, named after another Pokémon character, that can establish a reverse shell to an attacker's machine when a TCP packet with special field values are received on the monitored Ethernet interface of an affected device. This means that attackers can open remote shells by simply sending a specially crafted packet to the infected device over the Internet.
»
и из исходного текста у Trend Micro:
«
Espeon backdoor component
This is a non-promiscuous libpcap-based backdoor written in C that spawns a shell when an authenticated user connects to it. (The attackers also named this component after a Pokémon – this time Espeon, which has pronounced ears.) It can be instructed to establish a connection to an attacker machine, functioning as a reverse shell to bypass firewalls.
Espeon captures all TCP traffic that reaches the main Ethernet interface of the affected computer. Once it receives a TCP packet with some special field values, it then connects back to the source IP of this TCP packet.
»
Это стандартное описание reverse shell, то есть shell через соединение, инициированное заражённой машиной.
Среди всего прочего: «obtained samples of a new rootkit family from one of our trusted partners» — экземпляр Command & Control они пока что не получили (или по крайней мере не хотят признаваться), так что возможности поставщика по перехвату управления ботнетом у заказчика они не описывают.