Neutrino exploitkit houdt beveiligingsonderzoekers buiten de deur met passieve OS fingerprinting

  1. 5 feb 2016
  2. 0 reacties
vingerafdruk-davide-guglielmo

De ontwikkelaars van de Neutrino exploitkit hebben de kit voorzien van passieve OS fingerprinting. Met deze techniek blokkeren zij dataverkeer afkomstig van Linux machines in een poging beveiligingsonderzoeker die de exploitkit proberen te onderzoeken te slim af te zijn.

Dit meldt Daniel Chechik, een beveiligingsonderzoek van Trustwave’s SpiderLabs divisie. Onderzoekers van Trustwave kwamen de nieuw ingebouwde beveiliging op het spoor nadat zij probeerde de Neutrino exploitkit te onderzoeken vanaf hun onderzoeksmachines, die draaien op Linux. De machines konden geen verbinding maken met de server die de Neutrino exploitkit aflevert op machines.

Verbindingen vanaf Linux machines blokkeren

Chechik meldt dat passieve OS fingerprinting door de ontwikkelaars vermoedelijk wordt gebruikt om vanaf de servers waarop de exploitkit wordt gehost verbindingen vanaf Linux machines te kunnen herkennen en blokkeren. Dit aangezien beveiligingsonderzoekers over het algemeen gebruik maken van Linux machines. De onderzoekers van Trustwave wisten uiteindelijk toch verbinding te maken met de server door gegevens aan te passen, waardoor het besturingssysteem op één van hun onderzoeksmachine werd geïdentificeerd als ‘Unknown OS’.

De beveiligingsonderzoeker noemt de aanpak van de ontwikkelaars slim. Indien een server niet reageert wordt over het algemeen aangenomen dat deze server onbeschikbaar is. Door alle inkomende verbindingen vanaf Linux machines te blokkeren krijgen beveiligingsonderzoekers dan ook het beeld dat de Neutrino exploitkit niet meer vanaf deze specifieke server wordt geserveerd, wat de kans vergroot dat zij hun aandacht naar andere servers verleggen.

Meer over
Lees ook
Gegevens van 1.000 Telfort-klanten op straat door malafide app

Gegevens van 1.000 Telfort-klanten op straat door malafide app

De gegevens van ruim duizend Telfort-klanten liggen op straat nadat een cybercrimineel hen met een nepapp voor Windows Phone wist te misleiden. Dit blijkt uit onderzoek van de Gelderlander. De app 'Abonnement Status' is in de Windows Store en is voorzien van het officiële logo van Telfort. De app lijkt hierdoor voor onoplettende gebruikers een ec1

Van phishing verdachte student blijft voorlopig op vrije voeten

Van phishing verdachte student blijft voorlopig op vrije voeten

Een 24-jarige student van de Saxion Hogeschool in Deventer die door de Verenigde Staten (VS) wordt verdacht van deelname aan een phishingaanval blijft voorlopig op vrije voeten. Dit heeft het gerechtshof in Leeuwarden bepaald. De VS hebben om uitlevering van de 24-jarige Vietnamees die in Deventer studeert gevraagd. Het gerechtshof in Leeuwarden1

'Energiesector is een populair doelwit van hackers'

'Energiesector is een populair doelwit van hackers'

Dat hackers zich zeker niet alleen bezig houden met het aanvallen van websites is al langer duidelijk. Allerlei sectoren zijn geliefde doelwitten voor cybercriminelen. Een voorbeeld hiervan is de energiesector. 7,6 procent van alle gerichte cyberaanvallen was in de eerste helft van 2013 op deze sector gericht. Dit meldt beveiligingsbedrijf Symante1