Cuando los actores de amenazas utilizan malware de puerta trasera para obtener acceso a una red, deben asegurarse de que sus esfuerzos no puedan ser aprovechados por grupos competidores ni descubiertos por los defensores. Una contramedida es equipar la puerta trasera con un agente pasivo que permanece inactivo hasta que recibe lo que se conoce en el negocio como un “paquete mágico”. Una puerta trasera nunca antes vista que secuestró silenciosamente docenas de VPN empresariales que ejecutaban Junos OS de Juniper Networks estaba haciendo precisamente eso, revelaron investigadores el jueves.
El nombre de seguimiento de Backdoor, J-Majik, va un paso más allá para evitar el acceso no autorizado. Después de recibir un paquete mágico oculto en el flujo normal del tráfico TCP, transmite un desafío al dispositivo que lo envió. El desafío se presenta en forma de una cadena de texto cifrado utilizando la parte pública de la clave RSA. A continuación, la parte iniciadora debe responder con el texto claro correspondiente, que demuestra que tiene acceso a la clave secreta.
Abre las semillas de sésamo.
Una puerta trasera ligera también es notable porque reside sólo en la memoria, una característica que dificulta la detección por parte de los defensores. Esta combinación llevó a los investigadores del Black Lotus Lab de Lumen Technology a sentarse y tomar nota.
“Aunque este no es el primer descubrimiento de malware Magic Packet, ha habido sólo unas pocas campañas en los últimos años”, dijeron los investigadores. escribió. “Apuntar a enrutadores Junos OS que actúan como una puerta de enlace VPN e implementar un oyente pasivo en un agente de sólo memoria es una confluencia interesante de técnicas que merece mayor consideración”.
Los investigadores descubrieron J-Magic Total Y se decide que funcionará dentro de las redes de 36 instituciones. Todavía no saben cómo se instaló la puerta trasera. Así es como funciona el Paquete Mágico:
Se implementa un agente pasivo para observar silenciosamente todo el tráfico TCP enviado al dispositivo. Analiza de forma inteligente los paquetes y relojes entrantes. Las condiciones no están claras para que los productos de protección de red se mezclen con el flujo normal de tráfico que no detecta una amenaza. Al mismo tiempo, tienen la particularidad de que no se ven en el tráfico normal.
