攻撃者がバックドア マルウェアを使用してネットワークにアクセスする場合、その労力が競合グループに悪用されたり、防御者に検出されないようにする必要があります。対策の 1 つは、業界で「マジック パケット」と呼ばれるものを受信するまで休止状態を保つパッシブ エージェントをバックドアに装備することです。木曜日、研究者らは、ジュニパーネットワークのJunoOSを実行している数十のエンタープライズVPNを密かに占拠した、これまでに見たことのないバックドアがまさにそれを行っていたことを明らかにした。
バックドアの追跡名である J-Magic は、不正アクセスを防ぐためにさらに一歩進んでいます。 TCP トラフィックの通常のフローに隠されたマジック パケットを受信すると、それを送信したデバイスにチャレンジを中継します。チャレンジは、RSA キーの公開部分を使用して暗号化されたテキスト文字列の形式で送信されます。その後、開始側は対応する平文で応答し、秘密鍵にアクセスできることを証明する必要があります。
開きゴマ
この軽量のバックドアはメモリ内にのみ常駐するため、防御側にとっては検出が困難になるという特徴もあります。この組み合わせは、Lumin Technology の Black Lotus Lab の研究者らに注目を集めました。
「マジック パケット マルウェアの発見はこれが初めてではありませんが、近年ではほんの数件のキャンペーンが行われているだけです」と研究者らは述べています。 書きました。 「VPN ゲートウェイとして機能する Junos OS ルーターをターゲットにし、パッシブ リスニングを行うメモリ内のみのエージェントを導入するという組み合わせにより、これはさらなる観察に値する興味深いトレードクラフトになります。」
研究者らは、J-Magic を発見しました。 ウイルス合計 そして、それが 36 の組織のネットワーク内で実行されていたと判断しました。バックドアがどのようにして設置されたのかはまだわかっていません。マジック パケットの仕組みは次のとおりです。
パッシブ エージェントは、デバイスに送信されるすべての TCP トラフィックを静かに監視するために展開されます。受信パケットを慎重に分析し、パケットに含まれる 5 つの特定のデータ セットのうちの 1 つを監視します。この状況は通常のトラフィック フローに溶け込むほどわかりにくいため、ネットワーク防御製品は脅威を検出できません。同時に、それらは十分に珍しいため、通常の交通では発見されそうにありません。
ソース参照
#バックドアに感染する #VPN #はステルス性とセキュリティのためにマジック #パケットを使用していました