Kit-ul de exploatare Neutrino are un mod de a detecta securitatea
Dezvoltatorii Neutrino care exploatează breșele de securitate au creat o funcție care permite o opunere a studierii lui de către cercetătorii din securitate.
Funcția a fost descoperită după ce divizia SpiderLabs a Trustwave a descoperit că de pe calculatoarele pe care le foloseau pentru cercetare nu se puteau conecta la serverele care trimiseseră Neutrino.
„Mediul părea în regulă în afară de momentul în care accesam Neutrino”, a scris Daniel Chechik, senior security researcher scrie pcworld.com.
Kit-urile de exploatare sunt cele mai eficiente moduri prin care hackeri infectează calculatoarele cu malware. Ei găsesc site-uri vulnerabile și plantează un cod care se conectează în mod transparent la un sever care încearcă să profite de vulnerabilitățile software.
Dacă server-ul găsește o intrare, este trimis malware-ul. Kit-urile de exploatare sunt uneori trimise și prin ad-uri online malițioase în atacuri numite mavertising.
Creatorii de malware și hackerii au folosit dintodeauna metode care să încerce să oprească inginerii de securitate să le studieze metodele. De exemplu, unele programe malware sunt create să se oprească în monentul în care sunt puse să ruleze într-o mașină virtuală Java.
Chechik a scris că Trustwave a încercat să schimbe adresele IP și browserele web pentru a evita ceea cauza pentru care server-ul Neutrino nu răspundea, dar nu a funcționat.
Neutrino a fost creat să folosească o procedură de identificare a sistemului de operare denumită: passive OS fingerprinting, care este o metodă de colectare și analizare a informațiilor fără ca entitatea care este analizată să știe că este verificată.
Chechik a scris că Neutrino a folosit această procedură pentru a opri conexiunile la server care veneau de la dispozitive care foloseau Linux, fiind foarte probabil ca acestea să fie folosite de cercetători din securitate.
