elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Introducción a la Factorización De Semiprimos (RSA)


+  Foro de elhacker.net
|-+  Foros Generales
| |-+  Foro Libre
| | |-+  Noticias (Moderadores: wolfbcn, El_Andaluz)
| | | |-+  Los criminales no leen las instrucciones o usan contraseñas seguras
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Los criminales no leen las instrucciones o usan contraseñas seguras  (Leído 912 veces)
r32
Ex-Staff
*
Desconectado Desconectado

Mensajes: 1.299



Ver Perfil WWW
Los criminales no leen las instrucciones o usan contraseñas seguras
« en: 9 Julio 2018, 20:28 pm »

Repasando mi honeypot de WebLogic, estoy acostumbrado a ver muchos cripto mineros. El honeypot es vulnerable a CVE-2017-10271. He escrito antes sobre los varios criptomeros. [referencia al diario anterior]

Pero este fin de semana, finalmente descubrí algo un poco diferente. El atacante instaló una puerta trasera que hasta ahora no ha sido reconocida por ninguna herramienta antivirus de acuerdo con Virustotal [insertar enlace a resultado].

Este binario establece una conexión con el atacante para el control remoto protegido por una contraseña predeterminada trivial. Nota para el atacante: si la contraseña es "reemplazar con su contraseña"; ¡hazlo!"

Veamos algunos detalles sobre este caso.

Explotación de WebLogic

El archivo malicioso se cargó y ejecutó a través de una conocida vulnerabilidad de WebLogic. Hablamos sobre esta vulnerabilidad y los exploits relacionados a principios de este año [1]. Los atacantes descargaron la muestra usando 'wget', como se ve en la Figura 1.



Sin embargo, otro cripto minero?

La mayoría de las explotaciones similares dieron como resultado una actividad de cripto minería. Pero esto no fue así. Sin dirección de billetera, sin archivo de configuración, sin conexión de grupo de minería de datos criptográficos y sin consumo de CPU. En cambio, el malware estableció una conexión con un servidor de comando y control (C & C) para enviar la información de la víctima y recuperar las órdenes del atacante.

La Figura 2 muestra que esta muestra actualmente no está reconocida por ninguna de las herramientas antimalware cubiertas por Virustotal.



Más información: https://isc.sans.edu/diary/23850

Saludos.


En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
[Batch] Generador de contraseñas seguras
Scripting
_m 3 5,427 Último mensaje 27 Enero 2009, 17:11 pm
por _m
Las contraseñas de 16 y 25 caracteres, son seguras? « 1 2 »
Redes
win_7 12 7,486 Último mensaje 24 Noviembre 2013, 04:41 am
por Platanito Mx
Son seguras las contraseñas creadas por un programa administrador de contraseñas
Seguridad
Mister12 2 4,715 Último mensaje 24 Noviembre 2013, 05:58 am
por Mister12
La inseguridad de las contraseñas seguras
Seguridad
DamnSystem 0 1,959 Último mensaje 2 Enero 2017, 22:40 pm
por DamnSystem
Estas tres criptomonedas son las que usan los criminales y que temen las ...
Noticias
wolfbcn 0 1,242 Último mensaje 27 Febrero 2018, 15:04 pm
por wolfbcn
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines