Jump to content
  • Exfiltração de dados modificando binários legítimos


    Leandro Fróes

    No fim de setembro o CrowdStrike® Falcon OverWatch™ Team (time com foco em pesquisa de ameaças) postou em seu blog que encontrou em um de seus clientes uma infecção no daemon sshd que chamou a atenção, devido à sua abordagem de alterar um binário legítimo.

    Após logar via SSH por meio de credenciais válidas e escalar privilégios via CVE-2016-5195, o autor da invasão modificou duas funções do cliente SSH e do servidor (sshd), para que sempre que alguém entrasse com credenciais legítimas estas fossem copiadas para um arquivo específico para posterior extração.

    Este fato foi interessante para notarmos que os binários nativos do nosso sistema podem sim ser alterados e, com isto, agir de forma maliciosa. Devemos ficar de olho em tudo, certo?! ?


    User Feedback

    Recommended Comments

    There are no comments to display.



    Join the conversation

    You can post now and register later. If you have an account, sign in now to post with your account.

    Guest
    Add a comment...

    ×   Pasted as rich text.   Paste as plain text instead

      Only 75 emoji are allowed.

    ×   Your link has been automatically embedded.   Display as a link instead

    ×   Your previous content has been restored.   Clear editor

    ×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...