ΠΡΡΡΠ°ΠΆΡΠ²Π°ΡΠΈ ΠΎΠ΄ RACK911 Labs
ΠΠ° Π΄Π° ΠΈΠ·Π²ΡΡΠΈΡΠ΅ Π½Π°ΠΏΠ°Π΄, ΡΡΠ΅Π±Π° Π΄Π° ΠΏΠΎΡΡΠ°Π²ΠΈΡΠ΅ Π΄Π°ΡΠΎΡΠ΅ΠΊΠ° ΡΡΠΎ Π°Π½ΡΠΈΠ²ΠΈΡΡΡΠΎΡ ΡΠ° ΠΏΡΠ΅ΠΏΠΎΠ·Π½Π°Π²Π° ΠΊΠ°ΠΊΠΎ Π·Π»ΠΎΠ½Π°ΠΌΠ΅ΡΠ½Π° (Π½Π° ΠΏΡΠΈΠΌΠ΅Ρ, ΠΌΠΎΠΆΠ΅ΡΠ΅ Π΄Π° ΠΊΠΎΡΠΈΡΡΠΈΡΠ΅ ΠΏΠΎΡΠΏΠΈΡ Π·Π° ΡΠ΅ΡΡΠΈΡΠ°ΡΠ΅) ΠΈ ΠΏΠΎ ΠΎΠ΄ΡΠ΅Π΄Π΅Π½ΠΎ Π²ΡΠ΅ΠΌΠ΅, ΠΎΡΠΊΠ°ΠΊΠΎ Π°Π½ΡΠΈΠ²ΠΈΡΡΡΠΎΡ ΡΠ΅ ΡΠ° ΠΎΡΠΊΡΠΈΠ΅ Π·Π»ΠΎΠ½Π°ΠΌΠ΅ΡΠ½Π°ΡΠ° Π΄Π°ΡΠΎΡΠ΅ΠΊΠ°, Π½ΠΎ Π²Π΅Π΄Π½Π°Ρ ΠΏΡΠ΅Π΄ Π΄Π° ΡΠ° ΠΏΠΎΠ²ΠΈΠΊΠ°ΡΠ΅ ΡΡΠ½ΠΊΡΠΈΡΠ°ΡΠ° Π·Π° Π΄Π° Π³ΠΎ ΠΈΠ·Π±ΡΠΈΡΠ΅ΡΠ΅, Π·Π°ΠΌΠ΅Π½Π΅ΡΠ΅ Π³ΠΎ Π΄ΠΈΡΠ΅ΠΊΡΠΎΡΠΈΡΠΌΠΎΡ ΡΠΎ Π΄Π°ΡΠΎΡΠ΅ΠΊΠ°ΡΠ° ΡΠΎ ΡΠΈΠΌΠ±ΠΎΠ»ΠΈΡΠ½Π° Π²ΡΡΠΊΠ°. ΠΠ° Windows, Π·Π° Π΄Π° ΡΠ΅ ΠΏΠΎΡΡΠΈΠ³Π½Π΅ ΠΈΡΡΠΈΠΎΡ Π΅ΡΠ΅ΠΊΡ, Π·Π°ΠΌΠ΅Π½Π° Π½Π° Π΄ΠΈΡΠ΅ΠΊΡΠΎΡΠΈΡΠΌΠΎΡ ΡΠ΅ Π²ΡΡΠΈ ΡΠΎ ΠΏΠΎΠΌΠΎΡ Π½Π° ΡΠΏΠΎΡ Π½Π° Π΄ΠΈΡΠ΅ΠΊΡΠΎΡΠΈΡΠΌ. ΠΡΠΎΠ±Π»Π΅ΠΌΠΎΡ Π΅ ΡΡΠΎ ΡΠΊΠΎΡΠΎ ΡΠΈΡΠ΅ Π°Π½ΡΠΈΠ²ΠΈΡΡΡΠΈ Π½Π΅ Π³ΠΈ ΠΏΡΠΎΠ²Π΅ΡΡΠ²Π°Π° ΠΏΡΠ°Π²ΠΈΠ»Π½ΠΎ ΡΠΈΠΌΠ±ΠΎΠ»ΠΈΡΠ½ΠΈΡΠ΅ Π²ΡΡΠΊΠΈ ΠΈ, Π²Π΅ΡΡΠ²Π°ΡΡΠΈ Π΄Π΅ΠΊΠ° Π±ΡΠΈΡΠ°Ρ Π·Π»ΠΎΠ½Π°ΠΌΠ΅ΡΠ½Π° Π΄Π°ΡΠΎΡΠ΅ΠΊΠ°, ΡΠ° ΠΈΠ·Π±ΡΠΈΡΠ°Π° Π΄Π°ΡΠΎΡΠ΅ΠΊΠ°ΡΠ° Π²ΠΎ Π΄ΠΈΡΠ΅ΠΊΡΠΎΡΠΈΡΠΌΠΎΡ Π½Π° ΠΊΠΎΡ ΡΠΊΠ°ΠΆΡΠ²Π° ΡΠΈΠΌΠ±ΠΎΠ»ΠΈΡΠΊΠ°ΡΠ° Π²ΡΡΠΊΠ°.
ΠΠΎ Linux ΠΈ macOS ΡΠ΅ ΠΏΠΎΠΊΠ°ΠΆΡΠ²Π° ΠΊΠ°ΠΊΠΎ Π½Π° ΠΎΠ²ΠΎΡ Π½Π°ΡΠΈΠ½ Π½Π΅ΠΏΡΠΈΠ²ΠΈΠ»Π΅Π³ΠΈΡΠ°Π½ ΠΊΠΎΡΠΈΡΠ½ΠΈΠΊ ΠΌΠΎΠΆΠ΅ Π΄Π° ΠΈΠ·Π±ΡΠΈΡΠ΅ /etc/passwd ΠΈΠ»ΠΈ ΠΊΠΎΡΠ° Π±ΠΈΠ»ΠΎ Π΄ΡΡΠ³Π° ΡΠΈΡΡΠ΅ΠΌΡΠΊΠ° Π΄Π°ΡΠΎΡΠ΅ΠΊΠ°, Π° Π²ΠΎ Windows Π±ΠΈΠ±Π»ΠΈΠΎΡΠ΅ΠΊΠ°ΡΠ° DDL Π½Π° ΡΠ°ΠΌΠΈΠΎΡ Π°Π½ΡΠΈΠ²ΠΈΡΡΡ Π΄Π° ΡΠ° Π±Π»ΠΎΠΊΠΈΡΠ° Π½Π΅Π³ΠΎΠ²Π°ΡΠ° ΡΠ°Π±ΠΎΡΠ° (Π²ΠΎ Windows Π½Π°ΠΏΠ°Π΄ΠΎΡ Π΅ ΠΎΠ³ΡΠ°Π½ΠΈΡΠ΅Π½ ΡΠ°ΠΌΠΎ Π½Π° Π±ΡΠΈΡΠ΅ΡΠ΅ Π΄Π°ΡΠΎΡΠ΅ΠΊΠΈ ΠΊΠΎΠΈ ΠΌΠΎΠΌΠ΅Π½ΡΠ°Π»Π½ΠΎ Π½Π΅ ΡΠ΅ ΠΊΠΎΡΠΈΡΡΠ°Ρ ΠΎΠ΄ Π΄ΡΡΠ³ΠΈ Π°ΠΏΠ»ΠΈΠΊΠ°ΡΠΈΠΈ). ΠΠ° ΠΏΡΠΈΠΌΠ΅Ρ, Π½Π°ΠΏΠ°ΡΠ°ΡΠΎΡ ΠΌΠΎΠΆΠ΅ Π΄Π° ΡΠΎΠ·Π΄Π°Π΄Π΅ Π΄ΠΈΡΠ΅ΠΊΡΠΎΡΠΈΡΠΌ βexploitβ ΠΈ Π΄Π° ΡΠ° ΠΏΠΎΡΡΠ°Π²ΠΈ Π΄Π°ΡΠΎΡΠ΅ΠΊΠ°ΡΠ° EpSecApiLib.dll ΡΠΎ ΠΏΠΎΡΠΏΠΈΡ Π½Π° ΡΠ΅ΡΡ Π²ΠΈΡΡΡΠΎΡ Π²ΠΎ Π½Π΅Π°, Π° ΠΏΠΎΡΠΎΠ° Π΄Π° Π³ΠΎ Π·Π°ΠΌΠ΅Π½ΠΈ Π΄ΠΈΡΠ΅ΠΊΡΠΎΡΠΈΡΠΌΠΎΡ βexploitβ ΡΠΎ Π²ΡΡΠΊΠ°ΡΠ° βC:\Program Files (x86)\McAfee\ Endpoint Security\Endpoint Securityβ ΠΏΡΠ΅Π΄ Π΄Π° ΡΠ° ΠΈΠ·Π±ΡΠΈΡΠ΅ΡΠ΅ ΠΠ»Π°ΡΡΠΎΡΠΌΠ°β, ΡΡΠΎ ΡΠ΅ Π΄ΠΎΠ²Π΅Π΄Π΅ Π΄ΠΎ ΠΎΡΡΡΡΠ°Π½ΡΠ²Π°ΡΠ΅ Π½Π° Π±ΠΈΠ±Π»ΠΈΠΎΡΠ΅ΠΊΠ°ΡΠ° EpSecApiLib.dll ΠΎΠ΄ Π°Π½ΡΠΈΠ²ΠΈΡΡΡΠ½ΠΈΠΎΡ ΠΊΠ°ΡΠ°Π»ΠΎΠ³. ΠΠΎ Linux ΠΈ macos, ΡΠ»ΠΈΡΠ΅Π½ ΡΡΠΈΠΊ ΠΌΠΎΠΆΠ΅ Π΄Π° ΡΠ΅ Π½Π°ΠΏΡΠ°Π²ΠΈ ΡΠΎ Π·Π°ΠΌΠ΅Π½Π° Π½Π° Π΄ΠΈΡΠ΅ΠΊΡΠΎΡΠΈΡΠΌΠΎΡ ΡΠΎ Π²ΡΡΠΊΠ°ΡΠ° β/etcβ.
# / Bin / sh
rm -rf /home/user/exploit ; mkdir /home/user/exploit/
wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwd
Π΄ΠΎΠ΄Π΅ΠΊΠ° inotifywait -m β/home/user/exploit/passwdβ | grep -m 5 βΠΠ’ΠΠΠ ΠΠΠβ
do
rm -rf /home/user/exploit ; ln -s /etc /home/user/exploit
Π½Π°ΠΏΡΠ°Π²ΠΈ
ΠΠΎΠΊΡΠ°Ρ ΡΠΎΠ°, Π±Π΅ΡΠ΅ ΠΎΡΠΊΡΠΈΠ΅Π½ΠΎ Π΄Π΅ΠΊΠ° ΠΌΠ½ΠΎΠ³Ρ Π°Π½ΡΠΈΠ²ΠΈΡΡΡΠΈ Π·Π° Linux ΠΈ macOS ΠΊΠΎΡΠΈΡΡΠ°Ρ ΠΏΡΠ΅Π΄Π²ΠΈΠ΄Π»ΠΈΠ²ΠΈ ΠΈΠΌΠΈΡΠ° Π½Π° Π΄Π°ΡΠΎΡΠ΅ΠΊΠΈ ΠΊΠΎΠ³Π° ΡΠ°Π±ΠΎΡΠ°Ρ ΡΠΎ ΠΏΡΠΈΠ²ΡΠ΅ΠΌΠ΅Π½ΠΈ Π΄Π°ΡΠΎΡΠ΅ΠΊΠΈ Π²ΠΎ Π΄ΠΈΡΠ΅ΠΊΡΠΎΡΠΈΡΠΌΠΎΡ /tmp ΠΈ /private/tmp, ΠΊΠΎΠΈ ΠΌΠΎΠΆΠ΅ Π΄Π° ΡΠ΅ ΠΊΠΎΡΠΈΡΡΠ°Ρ Π·Π° Π·Π³ΠΎΠ»Π΅ΠΌΡΠ²Π°ΡΠ΅ Π½Π° ΠΏΡΠΈΠ²ΠΈΠ»Π΅Π³ΠΈΠΈΡΠ΅ Π½Π° root ΠΊΠΎΡΠΈΡΠ½ΠΈΠΊΠΎΡ.
ΠΠΎΡΠ΅Π³Π°, ΠΏΡΠΎΠ±Π»Π΅ΠΌΠΈΡΠ΅ ΡΠ΅ Π²Π΅ΡΠ΅ ΠΏΠΎΠΏΡΠ°Π²Π΅Π½ΠΈ ΠΎΠ΄ ΠΏΠΎΠ²Π΅ΡΠ΅ΡΠΎ Π΄ΠΎΠ±Π°Π²ΡΠ²Π°ΡΠΈ, Π½ΠΎ Π²ΡΠ΅Π΄ΠΈ Π΄Π° ΡΠ΅ Π·Π°Π±Π΅Π»Π΅ΠΆΠΈ Π΄Π΅ΠΊΠ° ΠΏΡΠ²ΠΈΡΠ΅ ΠΈΠ·Π²Π΅ΡΡΡΠ²Π°ΡΠ° Π·Π° ΠΏΡΠΎΠ±Π»Π΅ΠΌΠΎΡ Π±Π΅Π° ΠΈΡΠΏΡΠ°ΡΠ΅Π½ΠΈ Π΄ΠΎ ΠΏΡΠΎΠΈΠ·Π²ΠΎΠ΄ΠΈΡΠ΅Π»ΠΈΡΠ΅ Π΅ΡΠ΅Π½ΡΠ° 2018 Π³ΠΎΠ΄ΠΈΠ½Π°. ΠΠ°ΠΊΠΎ Π½Π΅ ΡΠΈΡΠ΅ ΠΏΡΠΎΠ΄Π°Π²Π°ΡΠΈ ΠΎΠ±ΡΠ°Π²ΠΈΡΠ° Π°ΠΆΡΡΠΈΡΠ°ΡΠ°, ΡΠΈΠ΅ Π΄ΠΎΠ±ΠΈΡΠ° Π½Π°ΡΠΌΠ°Π»ΠΊΡ 6 ΠΌΠ΅ΡΠ΅ΡΠΈ Π΄Π° ΡΠ΅ Π·Π°ΠΊΡΠΏΠ°Ρ, Π° RACK911 Labs Π²Π΅ΡΡΠ²Π° Π΄Π΅ΠΊΠ° ΡΠ΅Π³Π° Π΅ Π±Π΅ΡΠΏΠ»Π°ΡΠ΅Π½ Π΄Π° Π³ΠΈ ΠΎΡΠΊΡΠΈΠ΅ ΠΏΡΠΎΠΏΡΡΡΠΈΡΠ΅. ΠΠ°Π±Π΅Π»Π΅ΠΆΠ°Π½ΠΎ Π΅ Π΄Π΅ΠΊΠ° RACK911 Labs ΡΠ°Π±ΠΎΡΠΈ Π½Π° ΠΈΠ΄Π΅Π½ΡΠΈΡΠΈΠΊΠ°ΡΠΈΡΠ° Π½Π° ΠΏΡΠΎΠΏΡΡΡΠΈ Π΄ΠΎΠ»Π³ΠΎ Π²ΡΠ΅ΠΌΠ΅, Π½ΠΎ Π½Π΅ ΠΎΡΠ΅ΠΊΡΠ²Π°ΡΠ΅ Π΄Π΅ΠΊΠ° ΡΠ΅ Π±ΠΈΠ΄Π΅ ΡΠΎΠ»ΠΊΡ ΡΠ΅ΡΠΊΠΎ Π΄Π° ΡΠ΅ ΡΠ°Π±ΠΎΡΠΈ ΡΠΎ ΠΊΠΎΠ»Π΅Π³ΠΈΡΠ΅ ΠΎΠ΄ Π°Π½ΡΠΈΠ²ΠΈΡΡΡΠ½Π°ΡΠ° ΠΈΠ½Π΄ΡΡΡΡΠΈΡΠ° ΠΏΠΎΡΠ°Π΄ΠΈ Π΄ΠΎΡΠ½Π΅ΡΠ΅ Π²ΠΎ ΠΎΠ±ΡΠ°Π²ΡΠ²Π°ΡΠ΅ΡΠΎ Π°ΠΆΡΡΠΈΡΠ°ΡΠ° ΠΈ ΠΈΠ³Π½ΠΎΡΠΈΡΠ°ΡΠ΅ Π½Π° ΠΏΠΎΡΡΠ΅Π±Π°ΡΠ° ΠΈΡΠ½ΠΎ Π΄Π° ΡΠ΅ ΠΏΠΎΠΏΡΠ°Π²ΠΈ Π±Π΅Π·Π±Π΅Π΄Π½ΠΎΡΡΠ° ΠΏΡΠΎΠ±Π»Π΅ΠΌΠΈ.
ΠΠ°ΡΠ΅Π³Π½Π°ΡΠΈ ΠΏΡΠΎΠΈΠ·Π²ΠΎΠ΄ΠΈ (Π±Π΅ΡΠΏΠ»Π°ΡΠ½ΠΈΠΎΡ Π°Π½ΡΠΈΠ²ΠΈΡΡΡΠ΅Π½ ΠΏΠ°ΠΊΠ΅Ρ ClamAV Π½Π΅ Π΅ Π½Π°Π²Π΅Π΄Π΅Π½):
- Linux
- BitDefender GravityZone
- ΠΠ΅Π·Π±Π΅Π΄Π½ΠΎΡΡ Π½Π° ΠΊΡΠ°ΡΠ½Π°ΡΠ° ΡΠΎΡΠΊΠ° Π½Π° ΠΠΎΠΌΠΎΠ΄ΠΎ
- ΠΠ΅Π·Π±Π΅Π΄Π½ΠΎΡΡ Π½Π° ΡΠ΅ΡΠ²Π΅ΡΠΎΡ Eset ΡΠΎ Π΄Π°ΡΠΎΡΠ΅ΠΊΠΈ
- F-Secure Linux Π±Π΅Π·Π±Π΅Π΄Π½ΠΎΡΡ
- Kaspersy Endpoint Security
- ΠΠ΅Π·Π±Π΅Π΄Π½ΠΎΡΡ Π½Π° ΠΊΡΠ°ΡΠ½Π°ΡΠ° ΡΠΎΡΠΊΠ° Π½Π° ΠΠ΅ΠΊΠ°ΡΠΈ
- ΠΠ½ΡΠΈ-Π²ΠΈΡΡΡ Π½Π° Π‘ΠΎΡΠΎΡ Π·Π° ΠΠΈΠ½ΡΠΊΡ
- Windows
- ΠΠ΅ΡΠΏΠ»Π°ΡΠ΅Π½ Π°Π½ΡΠΈΠ²ΠΈΡΡΡ Avast
- ΠΠ²ΠΈΡΠ° Π±Π΅ΡΠΏΠ»Π°ΡΠ΅Π½ Π°Π½ΡΠΈΠ²ΠΈΡΡΡ
- BitDefender GravityZone
- ΠΠ΅Π·Π±Π΅Π΄Π½ΠΎΡΡ Π½Π° ΠΊΡΠ°ΡΠ½Π°ΡΠ° ΡΠΎΡΠΊΠ° Π½Π° ΠΠΎΠΌΠΎΠ΄ΠΎ
- F-Secure ΠΊΠΎΠΌΠΏΡΡΡΠ΅ΡΡΠΊΠ° Π·Π°ΡΡΠΈΡΠ°
- ΠΠ΅Π·Π±Π΅Π΄Π½ΠΎΡΡ Π½Π° ΠΊΡΠ°ΡΠ½Π°ΡΠ° ΡΠΎΡΠΊΠ° Π½Π° FireEye
- ΠΡΠ΅ΡΠ΅ΡΠ΅ΡΠ΅ X (Π‘ΠΎΡΠΎΡ)
- Kaspersky Endpoint Security
- Malwarebytes Π·Π° Windows
- ΠΠ΅Π·Π±Π΅Π΄Π½ΠΎΡΡ Π½Π° ΠΊΡΠ°ΡΠ½Π°ΡΠ° ΡΠΎΡΠΊΠ° Π½Π° ΠΠ΅ΠΊΠ°ΡΠΈ
- ΠΡΠΏΠΎΠ»Π° ΠΏΠ°Π½Π΄Π°
- Webroot ΠΠ΅Π·Π±Π΅Π΄Π½ΠΎ ΠΊΠ°Π΄Π΅ Π±ΠΈΠ»ΠΎ
- MacOS
- AVG
- BitDefender Π’ΠΎΡΠ°Π»Π½Π° Π±Π΅Π·Π±Π΅Π΄Π½ΠΎΡΡ
- Π‘Π°ΡΠ±Π΅Ρ Π±Π΅Π·Π±Π΅Π΄Π½ΠΎΡΡ Π½Π° ΠΡΠ΅Ρ
- Kaspersky Internet Security
- McAfee ΠΠΊΡΠΏΠ½ΠΎ Π·Π°ΡΡΠΈΡΠ°
- Microsoft Defender (ΠΠΠ’Π)
- ΠΠΎΡΡΠΎΠ½ Π±Π΅Π·Π±Π΅Π΄Π½ΠΎΡΡ
- Sophos Home
- Webroot ΠΠ΅Π·Π±Π΅Π΄Π½ΠΎ ΠΊΠ°Π΄Π΅ Π±ΠΈΠ»ΠΎ
ΠΠ·Π²ΠΎΡ: opennet.ru