I fyra år har Olivier Bilodeau och Masarah Paquet-Clouston från GoSecure studerat IoT botnet och hur sociala medier manipuleras med hjälp utav infekterade datorer.
Under forskningsprocessen upptäckte Olivier och Masarah ett malware som de själva gav namnet Linux/Moose. Malwaret riktade sig mot inbyggda Linux system och har worm-liknande beteende. Malwarets syfte var dock annorlunda än vad vi brukar se. Linux/Moose hade Proxy service som payload vilket innebär att angriparen kan använda den infekterade enheten som proxy för att utföra ärenden eller för att läsa av trafik.
Linux/Moose syfte var att stjäla kakor från olika sociala medier hos offren. Dessa kakor skickas sedan tillbaka till angriparen som använder dem för att ge till kunder som köper likes/followers. Då köpare beställer stora mängder likes/followers så krävs det väldigt många konton.
Vill du läsa mer?
——-
Bilar har blivit väldigt moderna och vi ser oftast de typiska funktionerna som radio, musik, navigering och bluetooth. Vi kan också se molnbaserade backup-lösningar i modernare bilar.
De ovannämnda funktionerna har vid tidigare tillfällen visat sig vara sårbara mot ett flertal attacker.
Benjamin och Vladan visade under fredagen nya angreppsmetoder då de klassiska attackerna mot OS, DBus, telnet och firmware uppdatering inte längre är lika aktuella. Istället för de typiska attackerna diskuterades tredjepartskomponenter som finns inbakade i bilen som t.ex. 4g chippet.
——-
eBPF eller extended Berkeley Packet Filter är ett bytecode instruction set och virtuell maskin som används för en säker miljö inom linuxkärnan för att genomföra programmatiska uppgifter. Det är en omdesignad variant av linux original in-kernel BPF bytecode VM som används bland annat för tcpdump filter.
Presentationen var mycket teknisk och handlade om olika elaka tekniker som den nya teknologin erbjuder, mest noterbart var att det gick att utnyttja funktionerna för att droppa ur en dockercontainer och få root shell på den fysiska maskinen.
—–
Presentationen handlade om upptäckt och utnyttjande av sårbara implementationer av SSL-VPN hos flertalet stora tillverkare såsom Fortinet, Cisco, Pulse och F5.
Forskarna demonstrerade senare hur de utnyttjade dessa sårbarheter för att erhålla root shell på VPN servern hos både Fortigate och Pulse, och med det fri tillgång till alla interna resurser nåbara från VPN gatewayen. Vidare visade de att det även gick att ta över alla anslutande klienter genom att injecera skadlig kod i VPN-applikationen och sedan tvinga klienten att uppgradera vid anslutning.
Dessa sårbarheter är fixade i de senaste versionerna och Certezza rekommenderar uppgradering så snart som möjligt för de som använder påverkade tillverkares SSL-VPN lösning.
Sam Eizad och Andreas Elmerdal
