Actualités

FontOnLake : une famille de malwares avancés ciblant les systèmes sous Linux !

Les chercheurs ESET viennent de mettre en évidence un nouveau groupe de malwares aux techniques assez étendues : combinant des applications recelant des trojans, des portes dérobées ou encore des rootkits, FontOnLake est un couteau-suisse dans le domaine insécuritaire, en exécutant tout un tas d’actions distantes pour aller jusqu’à l’ex-filtration de données.

 

 

Les identifiants et mots de passe sont interceptés par les trojans en SSHD en modifiant (code) l’authentification par mot de passe. Trois portes dérobées prennent ensuite le relais : pour l’une, un script sous Python permettra de lier l’ensemble avec, au préalable, une communication command-and-control qui permettra d’ex-filtrer la précieuse donnée. Une seconde porte dérobée permettra de jointer une connexion SSHD personnalisée en tant que proxy, ce qui permettra d’instaurer une résolution dynamique du serveur avec déchiffrement AES-128 (réponse-requête HTTP GET – base64). La troisième et dernière porte dérobée réunit toutes les fonctions des deux premières avec, en plus, une communication aller-retour I / O des scripts (Python) ainsi que des commandes Shell.

 

Le rookit cible les versions-noyau 2.6.32-696.el6.x86_64 et 3.10.0-229.el7.x86_64 et permettra, en finalité de mettre à nu les informations pour les ex-filtrer à l’aide des portes dérobées dédiées. En travail préparatoire, il consiste essentiellement à se tapir discrètement dans le système tout en cachant son activité (dossiers, fichiers) mais, aussi, ses connections. Dans une version, il effectue une veille au niveau des paquets ICMP pour préparer l’exécution binaire (après téléchargement) des portes dérobées, notamment en tentant d’atteindre le “paquet magique ICMP” depuis une fonction détournée, sous TCP / IPv4 est-il brièvement souligné. La second déclinaison du rootkit est similaire (sans l’exploit “magique“) mais recèle un peu plus de commandes et de support pour les portes dérobées afin de s’assurer que la donnée soit acheminé sans éveiller les soupçons… A veiller !

 

 

Sources :




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.11.4a