Crack-wifi.com FORUM

LE FORUM DU SITE

Wifi, Backtrack, crack WEP et WPA...

Vous n'êtes pas identifié(e).  

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#1 11-02-2015 17:31:33

kcdtv
Membre d'honneur
Lieu : Internacionaluña
Inscription : 31-03-2010
Messages : 4 246

Linux.BackDoor.Xnote.1: Backdoor/malware ELF de ChinaZ

L'entreprise de sécurité informatique russe "Doctor Web" a publié ces jours-ci un rapport relativement détaillé sur "xnote".
Il s'agit d'une porte arrière, un passage secret, qui s'utilise apparemment avant tout pour fomenter des attaques DDoSS. La backdoor agit come un cheval de troie/malware et, chose peu courante, est destinée à prendre le contrôle de systèmes d'exploitations linux.

  Linux.BackDoor.Xnote.1 se répand tout seul en "brute forçant" l'accès SSL pour accéder à de nouvelles machines. Il s'installe en se copiant-collant come étant un fichier appelé iptable6 dans le dossier /bin. Une fois bien installé dans le dossier il va chercher à corrompre n'importe quel script qui se trouve dans  /etc/init.d/ pour y ajouter un ligne se chargeant d'exécuter iptable6 (pour être ainsi activé à chaque démarrage).

  le modus operenti est le suivant : une fois incrustée dans le système la backdoor s'active et sollicite le serveur des pirates en envoyant au passage des informations sur le système.
  A partir de là le malware reste en stand-by en attentes des consignes "adaptées" à la cible.  Les opérations ainsi commandées à distance s'effectuent dans un process différent de celui originel utilisé pour xnote. Les communications sont empaquetées avec  zlib

  Les chercheurs russes mettent en avant les possibilités offertes par  Linux.BackDoor.Xnote.1 pour créer des parc de zombies prêts à sonner la charge pour faire divers types d'attaques massives et pas gentilles du tout. Ce n'est qu'un aspect des choses quelque peu dénué de poésie et sensibilité tongue car les possibilités offertes par le système sont illimitées vu qu'il s'agit d'obtenir des privilèges et fonctionnalités à la "shellshock" ( Shellschock : exécution arbitraire de code via bug bash )

doctor web a écrit :

Thus, when commanded to do so, Linux.BackDoor.Xnote.1 can assign a unique ID to an infected machine, start a DDoS attack on a remote host with a specific address (it can mount SYN Flood, UDP Flood, HTTP Flood and NTP Amplification attacks), stop an attack, update its executable, write data to a file, or remove itself. The backdoor can also perform a number of actions with files. Having received the appropriate command, Linux.BackDoor.Xnote.1 sends information about the file system of the infected computer (the total number of data blocks in the file system and the number of free blocks) to the server and stands by for other directives which can include:
List files and directories inside the specified directory.
Send directory size data to the server.
Create a file in which received data can be stored.
Accept a file.
Send a file to the command and control (C&C) server.
Delete a file.
Delete a directory.
Signal the server that it is ready to accept a file.
Create a directory.
Rename a file.
Run a file.
In addition, the backdoor can run a shell with the specified environment variables and grant the C&C server access to the shell, start a SOCKS proxy on an infected computer, or start its own implementation of the portmap server.

  La backdoor ne s'installe que dans les systèmes sous session root (ça ne concerne donc directement qu'une part très limitée des utilisateurs de linux : professionnels, administrateurs réseaux...)

  Les chercheurs russes soupçonnent fortement que ce soit un autre coup* de ChinaZ.

Doctor Web security researchers  a écrit :

Doctor Web security researchers believe that the Chinese hacker group ChinaZ may be behind this backdoor

 
* MMD-0030-2015 New ELF malware on Shellshock: the ChinaZ

intox et propagande à la poutine?   

Pour en savoir plus  Andre M. DiMino de "deep-end-search" s'est installé la backdoor pour regarder son activité

  A son exécution xnote contacte un serveur DNS à la direction IP 114.114.114.114 et recherche trois domaines

  1. a.et2046.com

  2. b.et2046.com

  3. c.et2046.com

Chaque pétition entraine une réponse provenant de l'IP 122.10.85.54

A continuation nous pouvons voir le process "xnote" avec son PID 1303

Volatility Foundation Volatility Framework 2.4
Pid  Start      End        Flags Pgoff    Major Minor Inode  Path              
1303   0xc01000   0xc02000 r-x        0x0     8     1 405848 /home/mattyh/xnote
1303  0x8048000  0x81ba000 r-x        0x0     0     0      0                   
1303  0x81ba000  0x81c4000 rwx        0x0     0     0      0                   
1303  0xa137000  0xa158000 rwx        0x0     0     0      0 [heap]            
1303 0xb78b6000 0xb78b7000 r-x        0x0     0     0      0 [vdso]            
1303 0xbf843000 0xbf859000 rwx        0x0     0     0      0 [stack]

Et en examinant les paquets "dumpés" on peut voir les domaines et IP utilisés:

XXXXXXXXXXXXXXXX122.10.85.54
a.et2046.com
b.et2046.com
c.et2046.com
e.et2046.com
test
CAk[S
 !"#$%&'()*+,-./0123456789:;<=>[email protected][\]^_`abcdefghijklmnopqrstuvwxyz{|}~
.,-+xX0123456789abcdef0123456789ABCDEF-+xX0123456789abcdefABCDEF
-0123456789

-0123456789

  Le domaine et2046.com et l'IP ne sont pas inconnus dans le monde de la sécurité...  et c'est ce qui pousse très certainement l'équipe de docteur web d'accuser à demis-mots le "groupe" connu comme "ChinaZ" (les zoros chinois en gros)
 

  le DNS (114.114.114.14) correspond à un gros serveur chinois qui s'appelle 114com
  Quant à la deuxième IP ele permet clairement d'identifier la tète pensante du réseau :

'whois' for Domain et2046.com
Domain Name: ET2046.COM
Registry Domain ID: 1762221508_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.godaddy.com
Registrar URL: http://www.godaddy.com
Update Date: 2014-08-25T06:58:17Z
Creation Date: 2012-11-27T14:02:55Z
Registrar Registration Expiration Date: 2016-11-27T14:02:55Z
Registrar: GoDaddy.com, LLC
Registrar IANA ID: 146
Registrar Abuse Contact Email: [email protected]
Registrar Abuse Contact Phone: +1.480-624-2505

Registry Registrant ID: 
Registrant Name: smaina smaina
Registrant Organization: 
Registrant Street: Beijing
Registrant City: Beijing
Registrant State/Province: Beijing
Registrant Postal Code: 100080
Registrant Country: China
Registrant Phone: +86.18622222222
Registrant Phone Ext: 
Registrant Fax: 
Registrant Fax Ext: 
Registrant Email: [email protected]

  Il s'agit de "smaina smaina" qui habite la petite ville de pékin. Vous pouvez l'appeler pour lui communiquer toute votre indigation au 22222222222 (précédé bien évidement du code provincial 86.186). Pour le trouver c'est facile, il habite dans la même rue que Santa Clauss et bob Marley (qui habitent à pékin aussi) 

  Pour en revenir à nos moutons: C'est le genre de "menace" qui nécessite tout de même une participation active de l'utilisateur. A partir du moment ou un utilisateur se met à "rooter" et à installer des trucs douteux dans un système mal actualisé.... il y a forcément des risques qui sont tellement et si facilement évitables... J'imagine que l'objectif et l'intérêt c'est plus de choper des vieux serveurs pourris et déjà non sécurisés (et sûrement déjà infectés) pour s'en servir pour des DDoSS.   
  On peut vérifier facilement si on est infecté en un instant et en une ligne de commande, par exemple:

cd /bin && ls | grep iptable6 && ps -A | grep xnote

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#2 16-03-2015 15:27:39

romeoandjuliet
Membre Actif
Inscription : 23-02-2015
Messages : 25

Re : Linux.BackDoor.Xnote.1: Backdoor/malware ELF de ChinaZ

Merci pour l'info !
C'es bien ficelé tout ca mais ya deux troois trucs qui me chagrinent...
C'est vrai apres tout, qu'est ce qu'ils tentent a cibler avec ca ? Une infime partie des root ? Pour realiser un dos de faible envergure ? Ou alors exploiter les machines reliées au root infecté pour ensuite attaquer en masse ?

Et quelles sont lees options pour verifier les rootkits et autres trojan sur linux ? Je connais justel e buil-in kali : chkrootkit mais ca semble pas forcement bien efficace !

Enfin comme quoi c'est aassez dingue comme des crews peuvent infecter autant de pc

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

Sujets similaires

Discussion Réponses Vues Dernier message
0 121 21-11-2016 23:08:49 par muts
25 1081 07-11-2016 20:09:33 par M1ck3y
8 492 19-10-2016 14:43:06 par kcdtv
3 343 19-10-2016 06:57:49 par rouzzz
Épinglée :
Épinglée :: Linux Deploy -> Kali Linux par romeoandjuliet
4 7401 03-10-2016 18:20:06 par hellblob

Pied de page des forums


Le coin des bonnes affaires, achats informatiques:


|   Alfa 1000 mW AWUS036H   |    Linksys WRT54GL   |    Misco, informatique   |   
 |    Ebay   |    PC portables   |    PC Gamers & Tuning   |    Cles USB   |   
|   Disques durs externes 2 To   |   
|   Wifi-highpower.com   |   


Server Stats - [ Generated in 0.023 seconds ]   Forum Stat - [ Most users ever online on the forum was : 150 on 20-09-2009 17:06:59 ]