VPN을 감염시키는 백도어는 스텔스와 보안에 “마법 패킷”을 사용했습니다.

-



VPN을 감염시키는 백도어는 스텔스와 보안에 “마법 패킷”을 사용했습니다.

위협 행위자가 백도어 맬웨어를 사용하여 네트워크에 액세스 할 때 경쟁 그룹이 모든 노력을 활용하거나 수비수가 탐지 할 수 없도록하려고합니다. 한 가지 반대 측정은 Backdoor에 비즈니스에서 알려진 것을 “매직 패킷”으로받을 때까지 휴면 상태를 유지하는 수동 에이전트를 장착하는 것입니다. 목요일에, 연구원들은 주니퍼 네트워크의 Junos OS를 운영하는 수십 개의 엔터프라이즈 VPN을 조용히 보유한 전혀 보지 못한 백도어가 바로 그 일을 해왔다고 밝혔다.

백도어의 추적 이름 인 J-Magic은 무단 액세스를 방지하기 위해 한 걸음 더 나아갑니다. TCP 트래픽의 정상적인 흐름에 숨겨진 매직 패킷을 수신 한 후,이를 보낸 장치에 대한 도전을 중단합니다. 도전은 RSA 키의 공개 부분을 사용하여 암호화 된 일련의 텍스트 형태로 제공됩니다. 그런 다음 시작 당사자는 해당 일반 텍스트로 응답하여 비밀 키에 액세스 할 수 있음을 증명해야합니다.

참깨를 엽니 다

가벼운 백도어는 메모리에만 존재하기 때문에 주목할 만합니다. 이 조합으로 Lumin Technology의 Black Lotus Lab의 연구원들은 앉아서 주목을 받았습니다.

“이것은 Magic Packet Malware의 첫 번째 발견은 아니지만 최근 몇 년 동안 소수의 캠페인 만있었습니다.” 썼다. “VPN 게이트웨이 역할을하는 Junos OS 라우터 타겟팅과 메모리 내 전용 에이전트를 배치하는 것은 추가 관찰 할 가치가있는 Tradecraft의 흥미로운 합류입니다.”

연구원들은 J-Magic을 발견했습니다 virustotal 36 개 조직의 네트워크 내부에서 실행되었다고 결정했습니다. 그들은 여전히 ​​백도어가 어떻게 설치되었는지 모릅니다. Magic Packet의 작동 방식은 다음과 같습니다.

수동 에이전트는 장치로 전송 된 모든 TCP 트래픽을 조용히 관찰하기 위해 배포됩니다. 그것은 들어오는 패킷을 신중하게 분석하고 포함 된 5 개의 특정 데이터 세트 중 하나에 대한 시계를 신중하게 분석합니다. 네트워크 방어 제품이 위협을 감지하지 못하는 트래픽의 정상적인 흐름과 조화를 이룰 수있을 정도로 조건이 모호합니다. 동시에, 그들은 정상적인 트래픽에서 발견되지 않을 정도로 드문 일입니다.

관련 기사