No fim de setembro o CrowdStrike® Falcon OverWatch™ Team (time com foco em pesquisa de ameaças) postou em seu blog que encontrou em um de seus clientes uma infecção no daemon sshd que chamou a atenção, devido à sua abordagem de alterar um binário legítimo.
Após logar via SSH por meio de credenciais válidas e escalar privilégios via CVE-2016-5195, o autor da invasão modificou duas funções do cliente SSH e do servidor (sshd), para que sempre que alguém entrasse com credenciais legítimas estas fossem copiadas para um arquivo específico para posterior extração.
Este fato foi interessante para notarmos que os binários nativos do nosso sistema podem sim ser alterados e, com isto, agir de forma maliciosa. Devemos ficar de olho em tudo, certo?! ?
Recommended Comments
There are no comments to display.
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.