Архив

IPv6 используется для скрытой передачи данных в обход средств защиты

Независимый эксперт по вопросам информационной безопасности представил новую программу для создания секретных каналов для передачи данных, которые не могут быть обнаружены большинством защитных систем, сообщает сайт SecurityFocus.com. Продукт эксперта Роберта Мерфи (Robert Murphy), получивший название VoodooNet (или v00d00n3t), использует способность большинства компьютеров работать с протоколом IPv6. При том, что современные сети работают в стандарте IPv4, и многие приложения для обеспечения безопасности не имеют возможности контролировать данные, передаваемые через IPv6.

«Большинство сетевого оборудования способно только пропускать трафик. Например, межсетевые экраны Windows не фиксируют IPv6, поэтому пакеты с данными через него проходят», — рассказал Мерфи.

Создатель VoodooNet воспользовался нехваткой понимания того, какие стандарты к безопасности должны существовать в сетях следующего поколения. Федеральное правительство США и многие крупные корпорации намереваются перейти к IPv6 к концу десятилетия. Министерство обороны США и управление Белого дома по вопросам бюджета и управления утверждают, что ключевые службы начнут работу с IPv6 к 30 июня 2008 года.

Многие приложения для обеспечения сетевой безопасности пока не работают с IPv6, однако этот стандарт уже широко поддерживается программным обеспечением для маршрутизаторов. Linux, Mac и Windows XP пропускают данные в стандарте IPv6, а в Windows Vista он уже станет протоколом, используемым по умолчанию.

Технологии для передачи данных всегда представляют проблемы для менеджеров по безопасности, считает Джо Клейн (Joe Klein), сетевой эксперт североамериканского подразделения разработчиков IPv6.

VoodooNet использует для передачи пакетов данных 6-ю версию протокола управления сообщениями Internet (ICMPv6). При этом информация скрывается без нарушения положений какого-либо из существующих запросов комментариев (RFC) — стандартов интернета.

Каждый пакет имеет адрес доставки и ключ, который определяет, какой компьютер этим адресом является. При самом секретном режиме пакет содержит 1 байт, однако число байтов в пакете может быть увеличено до 32.

Клейн уверен, что такая связь не может быть обнаружена современными устройствами, работающими в стандарте IPv4. Это значит, что секретная передача данных может быть использована и ботнетами — сетями зараженных компьютеров, централизованно управляемых хакером. «Решение проблемы — сетевые устройства, лучше понимающие IPv6. Например, системы обнаружения вторжений, полностью адаптированные к новому протоколу», — считает Клейн.

Клейн также отметил на одну особенность системы, которая позволяет обнаруживать любой компьютер, участвующий в скрытной передаче данных. Первая версия VoodooNet настраивает принимающие компьютеры на «прослушивание» канала для приема данных, отправленных в их сеть.

IPv6 используется для скрытой передачи данных в обход средств защиты

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике