Morto

2011.09.05. 17:18

Kb. egy hete kezdtek el beszélni a Morto nevű wormról. A róla szóló cikkek alapján kissé bumfordi darab, közel sem nevezném kifinomultnak, bár valóban hatékonynak tűnik. Az érdekessége az (nekem fura is), hogy állítólag ilyen módszert még korábban nem használt más féreg, pedig eléggé magától értetődőnek tűnik: internet felé nyitott RDP portokat keres és kipróbál pár gyenge jelszót az Administrator accountra. Ha profit, akkor bemegy, feltelepszik és megpróbál beszkennelni belső hálózatba, szintén 3389-es portra, amivel ordenáré nagy forgalmat produkál. (Így persze nem igazán van értelme keseregni azon, hogy fullra patchelt windowsokat fertőz meg... ez nem zero day) Hálózati IDS-eknek amolyan low-hanging-fruit, főleg a jól azonosítható dns kérések miatt.

Újabb példa, hogy látványos eredményhez nem feltétlenül kell szikével vágni, amíg hanyag az admin (bocs a képzavarért).

A bejegyzés trackback címe:

https://breach.blog.hu/api/trackback/id/tr813204543

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.