Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

ИБ-экспертам попался исходный код GhostDNS

22/05/20

GhostDNSИсследователям безопасности компании Avast удалось получить неограниченный доступ к компонентам набора эксплоитов GhostDNS после того, как вредоносный пакет сам попался им «в руки».

GhostDNS представляет собой набор эксплоитов для маршрутизаторов, который с помощью межсайтовой подделки запросов (CSRF) меняет настройки DNS и переадресовывает пользователей на фишинговые страницы для похищения их учетных данных для авторизации на различных ресурсах (сервисах online-банкинга, новостных сайтах, стриминговых сервисах и пр.).

Весь исходный код набора эксплоитов вместе с фишинговыми страницами в виде RAR-архива был опубликован на файлообменном сайте беспечным пользователем, очевидно не преследовавшим никаких преступных целей. Пользователь не защитил архив паролем и оставил включенным антивирусное ПО Avast с активным компонентом Web Shield, защищающим от вредоносного web-контента, что дало аналитикам Avast возможность тщательно изучить GhostDNS.

«Мы загрузили связанный файл и обнаружили весь исходный код набора эксплоитов GhostDNS», – сообщили исследователи.

Название архива KL DNS.rar указывает на то, что инструмент использует перехват DNS (DNS hijacking) и кейлоггинг для похищения учетных данных своих жертв. Всего в архиве содержалось два метода осуществления атак на маршрутизаторы, Router EK и BRUT, и оба они использовали CSRF для изменения настроек DNS.

Router EK атакует из локальной сети и требует от пользователя нажатия на вредоносную ссылку. BRUT представляет собой сканер для поиска доступных через интернет маршрутизаторов и атак на них без участия пользователя.

Исследователи обнаружили список префиксов IP-адресов в 69 странах (чаще всего в Южной Америке). Для каждого префикса было просканировано 65 536 адресов. После того, как атакующий выбирал префикс, некоторые версии набора эксплоитов печатали название GhostDNS (с ошибкой – GostDNS вместо GhostDNS) с целью проинформировать операторов о выполнении CSRF.

Темы:УгрозыAvastGhostDNS
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...