Vous utilisez un navigateur obsolète !

L'affichage de la page peut être incorrect.

Hôtes indésirables

Незваные гости

D'autres publications de cette rubrique (31)
  • Ajouter aux favoris
    Ajouter aux favoris

Sous contrôle externe

Lu par: 4669 Commentaires: 2 Cote de popularité: 39

mercredi 21 décembre 2016

Vous avez lancé votre navigateur mais au lieu de votre page d’accueil habituelle, vous voyez un site que vous ne connaissez pas ?

Le site web de votre banque vous demande subitement d’entrer vos identifiants ?

Dans ces situations, de nombreux utilisateurs lancent un scan antivirus. Si rien n’est trouvé, certains contactent le support technique. C’est une réaction normale et correcte, mais d’autres options sont à leur disposition.

Les cybercriminels cherchent toujours des « coins sombres » dans les systèmes afin que les malwares se dissimulent aux antivirus. Mais sous Windows/Mac/Linux, il n’existe pratiquement pas de tels recoins. Bien sûr, un code malveillant pourrait toujours être placé dans un adaptateur réseau ou le firmware d’une batterie, mais c’est assez improbable. Les infections de ce type existent quasi uniquement dans le cadre de la recherche.

La société Dell a averti les utilisateurs de PowerEdge R310, PowerEdge R410, PowerEdge R510, et PowerEdge T410 qu’un malware pourrait être présent dans le firmware de la carte mère du serveur. Un message publié dans le forum de support de Dell indiquait qu’un petit lot de cartes mères PowerEdge R410 avait été expédié avec un code malveillant embarqué dans le firmware de gestion du serveur.

http://en.community.dell.com/support-forums/servers/f/956/t/19339458
http://www.channelregister.co.uk/2010/07/21/dell_server_warning
http://ria.ru/science/20100721/257059385.html#ixzz4CV0afA4N

En général, le problème est tout-à-fait différent.

Si le malware Trojan.Rbrute a fait son « travail » dans un système, les utilisateurs peuvent être redirigés vers d’autres sites web qui ont été spécialement créés par les attaquants.

Typiquement, une attaque est menée de cette façon :

  1. Win32.Sector infecte un système et télécharge Trojan.Rbrute.
  2. Trojan.Rbrute reçoit une commande pour chercher les routeurs wi-fi et sur le serveur de contrôle et commande.

    Le malware peut monter des attaques par force brute sur les routeurs wi-fi suivants : D-Link DSL-2520U, DSL-2600U, TP-Link TD-W8901G, TD-W8901G 3.0, TD-W8901GB, TD-W8951ND, TD-W8961ND, TD-8840T, TD-8840T 2.0, TD-W8961ND, TD-8816, TD-8817 2.0, TD-8817, TD-W8151N, TD-W8101G, ZTE ZXV10 W300, ZXDSL 831CII et d’autres.

    Trojan.Rbrute utilise 'admin' ou 'support' comme login.

  3. Si cela fonctionne, Trojan.Rbrute modifie les paramètres du serveur DNS du routeur.
  4. Lorsqu’une autre machine « saine » essaie de se connecter à Internet via le routeur compromis, l’utilisateur est redirigé vers une page web spécialement créée.
  5. Sur cette page, le malware Win32.Sector est téléchargé sur l’ordinateur qui est maintenant infecté.

http://news.drweb.fr/show/?i=6445&c=9&p=7

En plus d’afficher toutes les pages web que souhaitent les cybercriminels, le routeur, avec ses fichiers de configuration altérés, peut être utilisé dans des attaques plus sophistiquées.

Altérer la table de routage d’un dispositif était l’une des caractéristiques des attaques impliquant Trojan.Dyre.

https://news.drweb.fr/show/?c=5&i=9829

Pour accéder aux routeurs, les criminels ont monté une attaque par force brute ou ont exploité des vulnérabilités.

Ajouté à la base virale Dr.Web sous le nom Linux.PNScan.1, le Trojan était installé sur des machines par un attaquant qui avait exploité des vulnérabilités comme shellshock en lançant le bon script. Ensuite, il était téléchargé et installé sur des routeurs par les Trojans Linux.BackDoor.Tsunami, eux-mêmes diffusés à l’aide de Linux.PNScan.1.

https://news.drweb.com/show/?c=5&i=9548&lng=en

Les dispositifs réseau sont ciblé au même titre que les routeurs particuliers.

La société Mandiant a publié les résultats d’une étude qu’elle a menée sur le backdoor SYNful Knock ciblant les routeurs Cisco.

Le backdoor pénètre dans les routeurs en utilisant une image IOS Cisco modifiée. Les attaquants utilisent un mot de passe de backdoor secret pour obtenir un accès distant au routeur via la console et Telnet. Le backdoor maintient sa présence après un redémarrage. Pour « écraser » l’image de l’OS, les attaquants utilisent des informations de compte volées et des mots de passe administrateur standard (les utilisateurs oublient souvent de modifier les mots de passe par défaut).

D’après l’étude, les routeurs Cisco1841, 2811 et 3825 sont vulnérables.

L’attaque décrite ici est similaire à la méthode que Cisco a lui-même mis en avant comme un scénario possible en août de l’année dernière. A cette époque, la société avait alerté ses utilisateurs sur la possibilité que des attaquants pourraient remplacer le firmware ROMMON (ROM Monitor) par une copie altérée. Cette méthode n’impliquait aucun recours à un exploit. Les attaquants obtenaient l’accès aux dispositifs en utilisant des identifiants réels qui semblaient indiquer que des employés – gérant les routeurs ou ayant accès à eux – participaient à l’attaque.

Le cas des routeurs Cisco n’est pas unique. Plusieurs chercheurs ont par exemple publié des informations sur des codes malveillants se trouvant dans les OS fabriqués par Juniper Networks.

https://habrahabr.ru/company/pt/blog/267141

Le projet Lumières sur la sécurité recommande

  • N’utilisez jamais les mots de passe par défaut pour accéder aux dispositifs réseau. Dès qu’un dispositif est paramétré, changez le mot de passe immédiatement.
  • Mettez à jour le firmware de vos appareils pour supprimer les vulnérabilités.
  • Téléchargez toujours un firmware sur le site officiel de son fabricant.
  • Utilisez un antivirus sur les machines utilisées pour gérer les dispositifs réseau.

[Twitter]

Nous apprécions vos commentaires

Pour laisser un commentaire, vous devez accéder au site via votre compte sur le site de Doctor Web. Si vous n'avez pas de compte, vous pouvez le créer.

Commentaires des utilisateurs