Összefoglaló
A Moose egy linux alapú útválasztókat és beágyazott rendszereket támadó trójai.
Leírás
Mikor a féreg megfertőzi a rendszert létrehozza az alábbi fájlokat:
- elan2
- elan3
A féreg hátsó kaput nyit a fertőzött rendszeren és a 10073-as porthoz csatlakozik.
Ezek után letölti a konfigurációs állományát.
Az alábbi tevékenységeket hajtja végre:
- Szomszédos IP címeket szkennel és megpróbál Telneten (23-as port) keresztül kapcsolódni.
- Nyers erős támadással próbálja kitalálni a felhasználónevet és jelszavat ezzel bejutva más eszközökbe.
- Lehallgatja a fertőzött hálózatot.
- Megpróbál shellt szerezni az áldozaton.
- Megnézi a folyamat listát más botneteket keresve.
- Megváltoztatja a DNS beállításokat a konfigurációs fájban szereplő adatokkal.
A féreg az alábbi információkat lopja el a fertőzött rendszerről:
- CPU mérete
- CPU típusa
- Processor mérete
- Processzor neve
Megoldás
- A tűzfalban blokkoljuk az internetről érkező kapcsolatokat, így elérve azt, hogy az útválasztókat vagy a beágyazott rendszereket ne lehessen támadni.
- Használjunk erős jelszavakat.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Misconfiguration (Konfiguráció)
Privilege escalation (jogosultság kiterjesztés)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.symantec.com