Cuando los actores de amenazas utilizan malware de puerta trasera para obtener acceso a una red, deben asegurarse de que todo su arduo trabajo no sea explotado y detectado por grupos o defensores competidores. Una contramedida es equipar la puerta trasera con un agente pasivo que permanece inactivo hasta que se conoce en el negocio como un “paquete mágico”. Los investigadores revelaron el jueves que una puerta trasera nunca antes vista que secuestra silenciosamente docenas de VPN empresariales que ejecutan Junos OS de Juniper Networks hace precisamente eso.

J-Magic, el nombre de seguimiento de Backdoor, va un paso más allá para evitar el acceso no autorizado. Después de recibir un paquete mágico oculto en el flujo normal del tráfico TCP, transmite un desafío al dispositivo emisor. El desafío se presenta en forma de una cadena de texto cifrada utilizando la parte pública de la clave RSA. El iniciador deberá responder con el texto claro correspondiente, acreditando que tiene acceso a la clave secreta.

Abre sésamo

Una puerta trasera liviana también es notable porque reside solo en la memoria, una característica que dificulta la detección por parte de los defensores. Esta combinación llevó a los investigadores del Black Lotus Lab de Lumen Technology a sentarse y tomar nota.

“Aunque este no es el primer descubrimiento de malware Magic Packet, ha habido sólo unas pocas campañas en los últimos años”, dijeron los investigadores. escribió eso. “Apuntar a enrutadores Junos OS que actúan como una puerta de enlace VPN y ejecutar un agente de escucha pasiva sólo en memoria crea una interesante confluencia de técnicas que merece mayor consideración”.

Los investigadores descubrieron J-Magic cantidad de virus Y confirmó que se ejecuta en las redes de 36 organizaciones. Todavía no saben cómo se instaló la puerta trasera. Así es como funciona el Paquete Mágico:

Se implementa un agente pasivo para observar silenciosamente todo el tráfico TCP enviado al dispositivo. Analiza de forma inteligente los paquetes entrantes y busca uno de los cinco conjuntos de datos específicos que contienen. Las condiciones son tan oscuras que los productos de protección de red pueden mezclarse con el flujo de tráfico normal para detectar una amenaza. Al mismo tiempo, tienen la particularidad de que no se ven en el tráfico normal.

Source link