Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Znalazł w szafie rackowej podejrzane urządzenie – analiza backdoora

21 stycznia 2019, 11:50 | W biegu | komentarzy 12

Cała historia dostępna jest tutaj. Urządzenie to RPi z dodatkowym USB donglem:

RPi

Nikt nie znał pochodzenia tego sprzętu. Na początek zidentyfikowano dongiel (daje możliwość komunikacji WiFi / Bluetooth):

Niespodzianka

Jak widzicie wyżej, urządzenie wpięte było również w sieć przewodową. Dalsza analiza pokazała działanie VPN-a na urządzeniu (karta SD nie była w żaden sposób szyfrowana…). Po przejrzeniu plików konfiguracyjnych i pomocym.in. serwisu wigle.net udało się namierzyć najprawdopodobniejszego napastnika. To wg analizy były pracownik, który po zwolnieniu jeszcze na jakiś czas dostał klucz do szafy (tak żeby wszystko uprzątnąć). Jak widać było to takie trochę rozszerzone porządkowanie…

Pewnie sporo tego typu tematów zupełnie nie jest ujawnianych… choć wydarzają się coraz częściej.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Duży Pies

    Atakujący to kompletny amator!
    Zamiast Malinki mógł użyć komputerka na USB i cienkim kablem-przedłużaczem wpiąć go w system a sam komputerek mający małe gabaryty dobrze ukryć w dużej serwerowej szafie.
    Pewnie że w końcu ktoś by go odkrył, to pewne, ale raczej później niż wcześniej, na pewno później niż z Maliną.
    No i zostawił cyfrowe ślady na karcie SD, żenada!
    Ułom a nie haker!

    Odpowiedz
    • Amator, jak najbardziej. Choć powstaje pytanie ile osób nawet czegoś takiego nie wykryje…

      Odpowiedz
      • Mythos

        Pewnie sporo takich zabawek jest niewykrywanych, kilka serwerowni w swoim życiu widziałem i do policzenia tych, w których był porządek i wszystko systematycznie poukładane, wystarczyłaby mi jedna ręka byłego stolarza ;)

        Odpowiedz
    • Kot Rademenes

      Prawdziwy armator :)

      Odpowiedz
    • Krzysztof Kozłowski

      Jest też opcja, że służyło mu to do jakichś celów zawodowych i zapomniał zabrać :D

      Sam kiedyś zostawiłem przez zapomnienie u klienta skrzynkę, która służyła do zdalnej administracji (czasy, zanim powszechne były lepsze rozwiązania i stałe łącza, choć i dzisiaj czasem to się sprawdza lepiej. )
      Rozstałem sie z firmą i jakież było moje dziwienie jak po kilku latach odpaliłem sobie stary serwerek :D a skrzyneczka karnie nawiązała z nim połączenie :D:D:D
      Cóż zdziwienie właściciela było olbrzymie jak zadzwoniłem powiedzieć mu o pewnym problemie który mają. Okazało się że ma informatyka na etacie i przeszedł dwa audyty bezpieczeństwa w międzyczasie…
      Ale tej skrzynki stojącej sobie i pracującej jakoś nikt nie tykał, bo nikt nie wiedział do czego służy :D
      Ale pozytyw taki, że obecnie nam się współpraca układa bardzo dobrze :D

      Odpowiedz
      • Paulos

        Na nikomu nieznane skrzynki jest procedura, wyłącza się i czeka się na zgłoszenia :)

        Odpowiedz
        • Zeratul

          kiedyś otworzyliśmy taką nieznaną skrzynkę przy porządkach w serwerowni
          okazała się centralką alarmu budynkowego

          i było wiele radości… ;)

          Odpowiedz
        • xav

          „Na nikomu nieznane skrzynki jest procedura, wyłącza się i czeka się na zgłoszenia ” a gdy ktoś zgłosi że pilnie potrzebuje backupu to wtedy zawsze można zacząć od dobrej wiadomości – że wiadomo do czego te nieznane skrzynki służą.

          Odpowiedz
  2. Fjuef kB

    Takie urządzenia teraz w kablach od USB ukrywają we wtyczce procesor.

    Odpowiedz
  3. Niby amator, ale pomysł jakiś miał. Zamiast dużej malinki mógł użyć wersji zero. Ale ogólnie pomysł ciekawy.

    Odpowiedz
    • Irek

      Zero nie ma ethernetu i USB A

      Odpowiedz
  4. Kto to

    Takie coś w plastikową obudowę i opisujemy „alarm” oraz nazwa firmy ochroniarskiej właściciela budynku; logo właściciela budynku… XD

    Odpowiedz

Odpowiedz