Обнаружены уязвимости в некоторых RAT

Discussion in 'Мировые новости. Обсуждения.' started by Solitude, 15 Oct 2012.

  1. Solitude

    Solitude Member

    Joined:
    29 Aug 2011
    Messages:
    445
    Likes Received:
    23
    Reputations:
    1
    Обнаружены уязвимости в некоторых RAT

    Распространённые трояны, которые используются злоумышленниками для удалённого администрирования систем (Remote Administration Tools, RAT), содержат ряд типичных уязвимостей, которые можно использовать для взлома компьютеров самих злоумышленников. Двое сотрудников компании Matasano Security недавно опубликовали исследование http://matasano.com/research/PEST-CONTROL.pdf (pdf) с анализом используемых протоколов, способами расшифровки трафика и анализом уязвимостей в популярных RAT. Они также разработали концептуальные эксплойты, позволяющие перехватывать и расшифровывать трафик, который передают эти программы с компьютеров жертв.

    В опубликованной работе осуществлён анализ нескольких доступных RAT: это DarkComet, Bandook, CyberGate и Xtreme. Как выяснилось, все они частично или полностью написаны в Delphi. Все они используют клиент-серверную архитектуру с установкой сервера на компьютере жертвы (“reverse-connecting” architecture), применяют криптографическую защиту или обфускацию коммуникаций. Но каждая из них содержит определённые уязвимости.

    DarkComet — одна из самых популярных RAT-программ, она использовалась в том числе сирийскими властями для слежки за политической оппозицией. Исследователи провели реверс-инжениринг протокола, написали собственный «сервер» для тестирования, успешно проверили SQL-инъекцию на клиентский модуль DarkComet (информация хранится в базе данных SQLite), проверили возможность изменения информации в базе данных. Исследователи также сделали экслойт для копирования всей информации из собранной злоумышленником базы данных, используя уязвимости в протоколе DarkComet.

    [​IMG]

    Программа Bandook RAT написана на C++ и Delphi, она имеет ограниченную функциональность, но может скачивать дополнительные плагины. Протокол коммуникации между клиентом и сервером не зашифрован, а обфусцирован с помощью XOR’ов.

    [​IMG]

    Эта программа использует VNC-клиент TightVNC 1.2.9.0, у которой есть известная уязвимость http://www.securityfocus.com/bid/33568/info.

    В приложении к исследованию авторы работы опубликовали готовые скрипты, которые можно использовать для MITM-атак на Bandook, CyberGate и Xtreme, а также скрипт SQL-инъекции для DarkComet.

    15.10.2012
    http://www.xakep.ru/post/59477/
     
    #1 Solitude, 15 Oct 2012
(You must log in or sign up to post here.)