Botnet zainfekował ponad 90 000 urządzeń i rośnie w siłę

17-05-2018, 16:27

Badacze udokumentowali na początku tego roku istnienie nowej wersji bota Hide and Seek. Botnet, pierwszy na świecie, który komunikuje się za pośrednictwem niestandardowego protokołu peer to peer, stał się także pierwszym, który uzyskał trwałość, czyli możliwość „przeżycia” ponownego uruchomienia.

Botnet to geograficznie rozproszona sieć zainfekowanych komputerów w tym wypadku również urządzeń spełniających koncepcję Internet of Things, pozwalająca jego twórcy na sprawowanie kontroli nad wszystkimi zainfekowanymi jednostkami. Autor botneta może wykorzystać zainfekowane urządzenia do przeprowadzenia ataków sieciowych, inwigilacji, rozsyłania SPAMU czy kradzieży poufnych informacji.

Istnieją dwa aspekty tych ataków, jeden to zdobycie dostępu do urządzenia, drugim z nich jest informacja, jakie miejsce dane urządzenie zajmuje w sieci. Użytkownicy takich jednostek bardzo często nie są świadomi, że padli ofiarą botneta, ponieważ jego aktywność jest trudna do wykrycia z wykorzystaniem zwykłych metod. Jeżeli sieć zainfekowanych urządzeń poszerzy się o serwer szansa zarażenia następnych jednostek gwałtownie wzrasta, jak komentuje problem Mariusz Politowicz, inżynier techniczny Bitdefender.

Nowe zidentyfikowane próbki zawierają teraz kod służący wykorzystaniu dwóch nowych luk, aby umożliwić złośliwemu oprogramowaniu zagnieżdżenie w większej liczbie modeli kamer IPTV. Oprócz luk w zabezpieczeniach, bot może również zidentyfikować dwa nowe typy urządzeń i przekazać ich domyślną nazwę użytkownika i hasła.

Odkryta próbka dotyczy również kilku urządzeń generycznych. Zainfekowane ofiary skanują sąsiadów w poszukiwaniu usługi telnet. Natychmiast po znalezieniu usługi telnet zainfekowane urządzenie usiłuje zaimportować dostęp. Jeśli logowanie zakończy się sukcesem, złośliwe oprogramowanie ogranicza dostęp do portu 23, aby potencjalnie uniemożliwić konkurencyjnemu botowi przejęcie urządzenia. Atak skierowany jest do szerokiej gamy urządzeń. Badania  pokazują, że bot ma 10 różnych plików binarnych skompilowanych dla różnych platform, w tym x86, x64, ARM (Little Endian i Big Endian), SuperH, PPC i tak dalej. Po pomyślnym zainfekowaniu szkodliwe oprogramowanie kopiuje się w folderze /etc/init.d/ i dodaje się do systemu operacyjnego. Aby osiągnąć trwałość, infekcja musi odbywać się za pośrednictwem usługi Telnet, ponieważ uprawnienia administratora są wymagane do skopiowania pliku binarnego do katalogu init.d. Następnie otwarty zostaje losowy port UDP, który jest propagowany do sąsiednich botów. Ten port będzie wykorzystywany przez cyberprzestępców do skontaktowania się z urządzeniem.

Obsługiwana lista poleceń nie zmieniła się znacząco od poprzedniej wersji bota. Wciąż nie ma wsparcia dla ataków DDoS (jednej z najczęściej spotykanych cech botów), co automatycznie nie pozwala na zarobek poprzez botnety. Jednak sam bot może nadal eksfiltrować pliki za pomocą metody Hide ‘N Seek.

Bazując na dostępnych dowodach, zakłada się, że botnet znajduje się w fazie wzrostu, ponieważ operatorzy starają się przechwycić jak najwięcej urządzeń, zanim dodadzą bardziej agresywne funkcje do pliku binarnego.

Źródło: Bitdefender


Źródło: materiał nadesłany do redakcji
To warto przeczytać



fot. geralt







Komentarze
comments powered by Disqus
  
znajdź w serwisie

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
Jak czytać DI?
Newsletter

Podaj teraz tylko e-mail!



RSS
Copyright © 1998-2018 by Dziennik Internautów Sp. z o.o. (GRUPA INFOR PL) Wszelkie prawa zastrzeżone.