Исследователи зафиксировали странное поведение Nord***

FiveGame · 3 май 2019

По словам разработчиков, странные подключения Nord*** являются частью механизма для обхода блокировок.

Исследователи безопасности и пользователи всерьез обеспокоены странным поведением Nord***, которое разработчики приложения не могут толком объяснить. Как оказалось, Nord*** подключается к странным доменам подобно тому, как скомпрометированные системы подключаются к C&C-серверам ботнетов.

О том, что происходит что-то неладное, первым сообщил читатель сетевого издания The Register по имени Дэн (Dan). Установленные в его офисной сети решения безопасности вдруг начали выдавать предупреждения о подозрительном трафике с ноутбука одного из посетителей. Как показал анализ записей журнала, устройство подключалось к нескольким «мусорным» доменам.

Странный трафик также был обнаружен исследователем безопасности Райаном Нимесом (Ryan Niemes). Однако Нимес выявил еще одну вещь – у подозрительных доменов отсутствовал владелец. Исследователь купил их и запустил EC2 с целью выяснить, что же на самом деле происходит. Запустив команду netstat, он увидел подключение к порту 443. «Я зарегистрировал сертификат Letsencrypt и стал наблюдать за появлением записей в журнале», – сообщил Нимес.

Исследователь в частном порядке уведомил разработчиков Nord*** о своей находке, и в качестве благодарности получил три года бесплатной подписки. Разработчики пообещали исправить проблему, однако после выхода обновлений подозрительные подключения никуда не делись. Нимес установил обновленную версию Nord*** для тестирования и обнаружил входящие подключения, устанавливаемые клиентами с «Nord***» в строках user-agent.

Исследователь обнаружил внутри HTTPS-трафика запросы API уже к другим доменам. «Обнаруженные мною POST-запросы вызывают опасения, так как поле renewtoken является уникальным», - заметил Нимес. По его словам, строка user-agent и запросы раскрывали версию приложения, сборку ОС хоста и адрес IPv4 пользователя.

Как заявляют в Nord***, подключение к странным доменам является частью механизма для обхода блокировок.

d911 · 3 май 2019

Копи паста /del

Как отработчики 80/20 зарабатывают на вас? Я пришел изменить все

Опасность Windows систем и её скрытые угрозы

Лучшие ***-сервисы в 2022 году

Создай свой Bulletproof VDS под ЛЮБЫЕ цели с доменом

Разведка и закрепление в Linux | Как защититься?

Как тебя могут взломать только из-за того что ты раздал Wifi?

Создаем анонимную почту для личного пользования

Сети для лолзят. Часть 1 [Дудос]

Пробив - Сервисы пробива и боты телеграм

Боты для пробива telegram

Поговорим про повестки и армейку

Твоя цифровая крепость: Полный гид по безопасности от А до Я

Как защититься от деанонимизации? // Сваттинг // Доксинг

Как защитить свои сервера и приложения от DDoS-атак

Новый способ как сносить аккаунты в тикток

Отключение слежки Google на Android. Стартовая настройка боевого телефона.

Метод GOOGLE 0AUTH TOKEN RESTORE

Обман при продаже подарков в тг, как не повестись

Обучись как не стать жертвой хакеров

COISP 1 | Сертификат безопасности 1 уровня

Приватный курс этичного хакинга| English

Вход по TDATA на MacOs

Глубокое погружение в мир ***-протоколов: сравнение и выбор

Берегите свои подарки Telegram

Не дайте себя обмануть | Telegram Репортеры / Сносеры

Что такое СМС-бомбер и как от него защитится ?

Взлом серверов Hackus/HMC

Обходим видеоверификации с помощью подмены лица. 5 методов

Безопасность в интернете для юных юзеров.

Шифруемся по-полной. VeraCrypt и виртуалки

Исследователи зафиксировали странное поведение Nord***