Readomesa trójai


2014. november 18. 10:16

CH azonosító

CH-11810

Angol cím

Backdoor.Readomesa

Felfedezés dátuma

2014.11.16.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft

Összefoglaló

A Readomesa trójai célja, hogy elősegítse azokat a támadásokat, amelyek különféle rendszerek, illetve szolgáltatások térdre kényszerítésére irányulnak. Vagyis a trójai szolgáltatásmegtagadási támadások végrehajtását támogatja. Elsősorban olyan komponensekkel rendelkezik, amelyek hálózatalapú DoS támadásokhoz járulhatnak hozzá.

A Readomesa felhasználói mappákba és fájlok átmeneti tárolására szolgáló könyvtárakba másolja be a saját állományait. Ezt követően nyit egy hátsó kaput, ami többek között azt a célt szolgálja, hogy a károkozó képes legyen fogadni a támadók által kiadott utasításokat. A kártevő így szerez tudomást arról, hogy éppen milyen célpont ellen kell harcba szállnia.

Leírás

1. Létrehozza a következő állományokat:
%Temp%IPX[véletlenszerű karakterek].TMPreadme.txt
%Temp%IPX[véletlenszerű karakterek].TMPlibssp-0.dll
%Temp%IPX[véletlenszerű karakterek].TMPctfmon.exe
%AllUsersProfile%Application Datareadme.txt
%AllUsersProfile%Application Datalibssp-0.dll
%AllUsersProfile%Application Datactfmon.exe
%UserProfile%acpi64.cnm
%UserProfile%xupdater.exe
2. A regisztrációs adatbázishoz hozzáadja az alábbi értékeket:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce”wextract_cleanup1″ = “rundll32.exe %System%advpack.dll,DelNodeRunDLL32 “%Temp%IXP[véletlenszerű karakterek].TMP\””
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce”wextract_cleanup0″ = “rundll32.exe %System%advpack.dll,DelNodeRunDLL32 “%Temp%IXP[véletlenszerű karakterek].TMP\””
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”pidgin” = “%AllUsersProfile%Application Datactfmon.exe”
3. Csatlakozik egy távoli kiszolgálóhoz.
4. Nyit egy hátsó kaput.
5. Szolgáltatásmegtagadási támadásokat kezdeményez HTTP, TCP és UDP protokollokra épülő módszerek felhasználásával.
6. Interneten keresztül frissíti a saját állományait.

Támadás típusa

Deny of service (Szolgáltatás megtagadás)
Information disclosure (Információ/adat szivárgás)
Manipulation of data

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2018-14933 – NUUO NVRmini Devices OS Command Injection sebezhetősége
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
Tovább a sérülékenységekhez »