Команды ботов Mirai в разногласиях

Обновлено: 02.07.2024

Новый вариант российского ботнета Cyclops Blink, нацеленный на маршрутизаторы ASUS

Маршрутизаторы ASUS стали мишенью зарождающегося ботнета Cyclops Blink почти через месяц после того, как было обнаружено, что вредоносное ПО злоупотребляет брандмауэрами WatchGuard в качестве трамплина для получения удаленного доступа к взломанным сетям. Согласно новому отчету, опубликованному Trend Micro, «основной целью ботнета является создание инфраструктуры для дальнейших атак на важные цели», учитывая, что ни один из зараженных хостов «не принадлежит критически важным организациям или тем, которые имеют очевидную ценность». об экономическом, политическом или военном шпионаже». Спецслужбы из Великобритании и США охарактеризовали Cyclops Blink как замену фреймворка для VPNFilter, еще одного вредоносного ПО, использующего сетевые устройства, в первую очередь маршрутизаторы малого офиса/домашнего офиса (SOHO) и сетевые устройства хранения данных (NAS). И VPNFilter, и Cyclops Blink приписываются спонсируемому государством российскому актеру, которого отслеживают как Песчаного червя (также известного как Медведь вуду), который также был обманут

Ботнет DirtyMoe получает новые эксплойты в модуле Wormable для быстрого распространения

Последнее исследование показало, что вредоносное ПО, известное как DirtyMoe, получило новые возможности распространения, подобные червям, которые позволяют ему расширять свою сферу действия, не требуя взаимодействия с пользователем. «Модуль червя нацелен на более старые известные уязвимости, например, EternalBlue и повышение привилегий Windows Hot Potato», — сказал исследователь Avast Мартин Хлумецки в отчете, опубликованном в среду. «Один модуль червя может генерировать и атаковать сотни тысяч частных и общедоступных IP-адресов в день; многие жертвы подвергаются риску, поскольку многие машины все еще используют непропатченные системы или слабые пароли». Активный с 2016 года ботнет DirtyMoe используется для проведения криптоджекинга и распределенных атак типа «отказ в обслуживании» (DDoS) и развертывается с помощью внешних наборов эксплойтов, таких как PurpleFox, или внедренных установщиков Telegram Messenger. В рамках последовательности атаки также используется служба DirtyMoe, которая инициирует запуск двух дополнительных процессов, а именно ядра и

Новый Linux-ботнет B1txor20 использует DNS-туннель и использует уязвимость Log4J

Был обнаружен ранее незадокументированный бэкдор, нацеленный на системы Linux с целью объединения машин в ботнет и действия в качестве канала для загрузки и установки руткитов. Команда безопасности Netlab Qihoo 360 назвала его B1txor20 «на основании его распространения с использованием имени файла« b1t », алгоритма шифрования XOR и длины ключа алгоритма RC4 20 байт». Впервые обнаруженный при распространении через уязвимость Log4j 9 февраля 2022 г., вредоносное ПО использует метод, называемый туннелированием DNS, для создания каналов связи с серверами управления и контроля (C2) путем кодирования данных в DNS-запросах и ответах. B1txor20, хотя и содержит некоторые ошибки, в настоящее время поддерживает возможность получения оболочки, выполнения произвольных команд, установки руткита, открытия прокси-сервера SOCKS5 и функций для загрузки конфиденциальной информации обратно на сервер C2. Как только компьютер успешно скомпрометирован, вредоносное ПО использует туннель DNS для извлечения и выполнения co

Последнее возрождение ботнета Emotet распространилось на более чем 100 000 компьютеров

Коварный ботнет Emotet, вернувшийся в ноябре 2021 года после 10-месячного перерыва, снова демонстрирует признаки устойчивого роста, собирая более 100 000 зараженных хостов для совершения злонамеренных действий. «Хотя Emotet еще не достиг того масштаба, который был когда-то, ботнет демонстрирует сильное возрождение: с ноября 2021 года в общей сложности около 130 000 уникальных ботов разбросаны по 179 странам», — говорится в отчете исследователей из Lumen's Black Lotus Labs. Emotet, до его закрытия в конце января 2021 года в рамках скоординированной правоохранительной операции, получившей название «Божья коровка», заразил не менее 1,6 миллиона устройств по всему миру, выступая в качестве канала для киберпреступников для установки других типов вредоносных программ, таких как банковские трояны. или программ-вымогателей на скомпрометированные системы. Вредоносное ПО официально появилось в ноябре 2021 года, используя TrickBot в качестве средства доставки, при этом последний закрыл свою инфраструктуру для атак

Известная банда вредоносных программ TrickBot закрывает свою инфраструктуру ботнета

Модульная платформа криминального ПО для Windows, известная как TrickBot, официально закрыла свою инфраструктуру в четверг после того, как появились сообщения о скором выходе из строя на фоне затишья в ее активности почти на два месяца, что положило конец одной из самых постоянных кампаний вредоносных программ за последние годы. «TrickBot больше нет. Он официально зарегистрирован в четверг, 24 февраля 2022 года. Скоро увидимся или нет», — написал в Твиттере генеральный директор AdvIntel Виталий Кремез. «TrickBot больше не используется, так как он стал неэффективен для целенаправленных вторжений.Приписываемый российской преступной организации под названием Wizard Spider, TrickBot начинался как финансовый троян в конце 2016 года и является производным от другого банковского вредоносного ПО под названием Dyre, которое было демонтировано в ноябре 2015 года. С годами он превратился в настоящую швейцарскую Армейский нож вредоносных возможностей, позволяющий злоумышленникам красть информацию с помощью веб-инъекций и размещать дополнительные полезные нагрузки. 20 октября деятельность TrickBot заметно пострадала.

Агентства США и Великобритании предупреждают о новом российском ботнете, созданном на основе взломанных устройств брандмауэра

Спецслужбы Великобритании и США раскрыли подробности о новой вредоносной программе ботнета под названием Cyclops Blink, которая приписывается поддерживаемой Россией хакерской группе Sandworm и применялась в атаках, начиная с 2019 года. для вредоносного ПО VPNFilter, обнаруженного в 2018 году, которое использовало сетевые устройства, в первую очередь маршрутизаторы малого офиса/домашнего офиса (SOHO) и сетевые устройства хранения данных (NAS)», — заявили агентства. «Как и в случае с VPNFilter, развертывание Cyclops Blink также кажется неизбирательным и широко распространенным». Совместные правительственные рекомендации исходят от Национального центра кибербезопасности Великобритании (NCSC), Агентства кибербезопасности и безопасности инфраструктуры (CISA), Агентства национальной безопасности (АНБ) и Федерального бюро расследований (ФБР) в США. Медведь — это имя, присвоенное высокоразвитому противнику, действующему за пределами России, о котором известно, что он активен как минимум с 2008 года.

Хакеры используют зараженные устройства Android для регистрации одноразовых учетных записей

Анализ сервисов проверки учетной записи с помощью SMS по телефону (PVA) привел к обнаружению мошеннической платформы, созданной на основе ботнета, включающего тысячи зараженных телефонов Android, что еще раз выявило недостатки, связанные с использованием SMS для проверки учетной записи. Службы SMS PVA, получившие распространение в 2018 году, предоставляют пользователям альтернативные мобильные номера, которые можно использовать для регистрации в других онлайн-сервисах и платформах, а также помогают обойти аутентификацию на основе SMS и механизмы единого входа (SSO), созданные для проверки новые аккаунты. «Услуги этого типа могут использоваться злоумышленниками для массовой регистрации одноразовых учетных записей или создания учетных записей с подтвержденным телефоном для совершения мошенничества и других преступных действий», — заявили исследователи Trend Micro в отчете, опубликованном на прошлой неделе. Данные телеметрии, собранные компанией, показывают, что большая часть случаев заражения приходится на Индонезию (47 357), за ней следуют Россия (16 157), Таиланд (11 196), Индия (8 109), Франция (5 548), Перу (4 915), Марокко. /p>

Исследователи предупреждают о новом ботнете на базе Golang, который находится в стадии непрерывной разработки

Исследователи в области кибербезопасности распаковали зарождающийся ботнет Kraken на базе Golang, который находится в активной разработке и имеет множество бэкдор-возможностей для перекачивания конфиденциальной информации со взломанных хостов Windows. «Kraken уже имеет возможность загружать и выполнять вторичные полезные нагрузки, запускать команды оболочки и делать снимки экрана системы жертвы», — говорится в отчете, опубликованном в среду компанией ZeroFox, специализирующейся на анализе угроз. Обнаруженные впервые в октябре 2021 года ранние варианты Kraken основаны на исходном коде, загруженном на GitHub, хотя неясно, принадлежит ли рассматриваемый репозиторий операторам вредоносного ПО или они просто решили начать свою разработку, используя код в качестве основы. фундамент. Ботнет — не путать с одноименным ботнетом 2008 года — увековечивается с помощью SmokeLoader, который в основном действует как загрузчик для вредоносного ПО следующей стадии, позволяя ему быстро увеличиваться в размерах и расширять свою сеть. Кр

P2P-ботнет FritzFrog атакует здравоохранение, образование и государственный сектор

Ботнет одноранговой сети Golang снова появился спустя более года, чтобы взломать серверы, принадлежащие организациям в сфере здравоохранения, образования и государственного сектора, в течение месяца, заразив в общей сложности 1500 хостов. Названный FritzFrog, «децентрализованный ботнет нацелен на любое устройство, которое предоставляет доступ к SSH-серверу — облачные экземпляры, серверы центров обработки данных, маршрутизаторы и т. д. — и способен запускать любую вредоносную полезную нагрузку на зараженных узлах», — говорится в отчете исследователей Akamai. Новости хакеров. Новая волна атак началась в начале декабря 2021 года, но только для того, чтобы набрать обороты и зарегистрировать десятикратный рост уровня заражения за месяц, достигнув пика в 500 инцидентов в день в январе 2022 года. Фирма по кибербезопасности заявила, что обнаружила зараженные машины в сеть европейских телеканалов, российский производитель медицинского оборудования и несколько университетов в Восточной Азии. FritzFrog был впервые задокументирован Guardicore в августе 2020 года при разработке ботнета&

Emotet теперь использует нетрадиционные форматы IP-адресов, чтобы избежать обнаружения

Кампании социальной инженерии, связанные с развертыванием вредоносного ботнета Emotet, впервые были замечены с использованием «нетрадиционных» форматов IP-адресов в попытке обойти обнаружение решениями безопасности. Это включает в себя использование шестнадцатеричных и восьмеричных представлений IP-адреса, которые при обработке базовыми операционными системами автоматически преобразуются «в точечно-десятичное четверное представление для инициирования запроса от удаленных серверов», — заявил аналитик угроз Trend Micro Ян Кенефик. , говорится в отчете в пятницу. Цепочки заражения, как и в случае с предыдущими атаками, связанными с Emotet, направлены на то, чтобы обманом заставить пользователей активировать макросы документов и автоматизировать выполнение вредоносных программ. В документе используются макросы Excel 4.0 — функция, которая неоднократно использовалась злоумышленниками для доставки вредоносных программ. После включения макрос вызывает URL-адрес, замаскированный символами вставки, с хостом, включающим шестнадцатеричное представление IP-адреса — «h

Ботнет Abcbot связан с операторами вредоносного ПО Xanthe Cryptomining

Новое исследование инфраструктуры нового ботнета DDoS под названием Abcbot выявило «четкие» связи с атакой ботнета по добыче криптовалюты, о которой стало известно в декабре 2020 года. Атаки с участием Abcbot, впервые раскрытые группой безопасности Qihoo 360 Netlab в ноябре 2021, запускаются с помощью вредоносного сценария оболочки, нацеленного на небезопасные облачные экземпляры, управляемые поставщиками облачных услуг, такими как Huawei, Tencent, Baidu и Alibaba Cloud, для загрузки вредоносного ПО, которое кооптирует машину в ботнет, но не раньше завершения процессов конкурирующих субъекты угрозы и установление настойчивости. Рассматриваемый сценарий оболочки сам по себе является итерацией более ранней версии, первоначально обнаруженной Trend Micro в октябре 2021 года и затрагивающей уязвимые экземпляры ECS внутри Huawei Cloud. Но, что интересно, продолжающийся анализ ботнета путем сопоставления всех известных индикаторов компрометации (IoC), включая IP-адреса, URL-адреса и образцы, выявил код Abcbot

Новое вредоносное ПО PseudoManuscrypt заразило более 35 000 компьютеров в 2021 году

Промышленные и государственные организации, в том числе предприятия военно-промышленного комплекса и исследовательские лаборатории, стали мишенью нового вредоносного ботнета PseudoManyscrypt, который только в этом году заразил примерно 35 000 компьютеров Windows. Название происходит от его сходства с вредоносным ПО Manuscrypt, которое является частью набора инструментов для атаки группы Lazarus APT, заявили исследователи «Лаборатории Касперского», охарактеризовав операцию как «кампанию массовых шпионских атак». Российская компания по кибербезопасности заявила, что впервые обнаружила серию вторжений в июне 2021 года. Не менее 7,2% всех компьютеров, атакованных вредоносным ПО, являются частью промышленных систем управления (АСУ ТП), используемых организациями в области машиностроения, автоматизации зданий, энергетики, производства, строительства. , коммунальные услуги и водное хозяйство, которые расположены в основном в Индии, Вьетнаме и России. Примерно треть (29,4%) компьютеров без АСУ находится в России (10,1%), Индии (10%) и Бразилии (9).

Новый вариант ботнета Phorpiex крадет полмиллиона долларов в криптовалюте

Пользователи криптовалюты в Эфиопии, Нигерии, Индии, Гватемале и на Филиппинах стали жертвами нового варианта ботнета Phorpiex под названием Twizt, в результате которого за последний год было украдено виртуальных монет на сумму 500 000 долларов США. Израильская фирма по обеспечению безопасности Check Point Research, которая подробно описала атаки, заявила, что последняя эволюционная версия «позволяет ботнету успешно работать без активных [командно-контрольных] серверов», добавляя, что он поддерживает не менее 35 кошельков, связанных с различными блокчейнами, включая Биткойн, Ethereum, Dash, Dogecoin, Litecoin, Monero, Ripple и Zilliqa для облегчения кражи криптовалюты. Phorpiex, также известный как Trik, известен своими кампаниями по рассылке спама и программ-вымогателей, а также криптоджекингом — схемой, которая использует устройства целей, такие как компьютеры, смартфоны и серверы, для тайного майнинга криптовалюты без их согласия или ведома. Он также печально известен тем, что использует технику, называемую плачем

Уязвимость Apache Log4j — Log4Shell — широко подвергается активной атаке

Google разрушает ботнет Glupteba на основе блокчейна; Подает в суд на российских хакеров

Во вторник компания Google заявила, что предприняла шаги, чтобы нарушить работу сложного «многокомпонентного» ботнета под названием Glupteba, который примерно заразил более миллиона компьютеров Windows по всему миру и сохранил адреса серверов управления и контроля в блокчейне Биткойн. как механизм устойчивости. Группа анализа угроз Google (TAG) заявила, что за последний год она сотрудничала с группой по расследованию киберпреступлений, чтобы закрыть около 63 миллионов документов Google, которые, как было замечено, распространяли вредоносное ПО, а также 1183 учетных записи Google, 908 облачных проектов, и 870 аккаунтов Google Ads, связанных с его распространением.Google TAG также заявил, что работал с поставщиками интернет-инфраструктуры и хостинг-провайдерами, такими как CloudFlare, для демонтажа вредоносного ПО путем отключения серверов и размещения промежуточных страниц с предупреждениями перед вредоносными доменами. В тандеме интернет-гигант также объявил о судебном иске против двух россиян

140 000 причин, по которым Emotet использует TrickBot в своем «Возвращении из мертвых»

Операторы вредоносного ПО TrickBot заразили около 140 000 жертв в 149 странах чуть более чем через год после того, как были предприняты попытки демонтировать его инфраструктуру, даже несмотря на то, что продвинутый троянец быстро становится точкой входа для Emotet, еще одного ботнета, который был отключен. на начало 2021 г. Большинство жертв, выявленных с 1 ноября 2020 г., прибыли из Португалии (18%), США (14%) и Индии (5%), за ними следуют Бразилия (4%), Турция (3%). %), Россия (3%) и Китай (3%), отметили в Check Point Research в отчете, предоставленном The Hacker News, с правительственными, финансовыми и производственными организациями, которые оказались в наибольшей степени затронутыми отраслевыми вертикалями. «Emotet является сильным индикатором будущих атак программ-вымогателей, поскольку вредоносное ПО предоставляет бандам программ-вымогателей черный ход на взломанные машины», — говорят исследователи, которые обнаружили 223 различных кампании Trickbot в течение последних шести месяцев. И TrickBot, и Emotet – это ботнеты, представляющие собой сеть устройств, подключенных к Интернету, которые заражают

Печально известный ботнет Emotet возвращается с помощью вредоносного ПО TrickBot

Печально известная вредоносная программа Emotet возвращается почти через 10 месяцев после того, как в конце января 2021 года в результате скоординированной операции правоохранительных органов была демонтирована ее командно-административная инфраструктура. Согласно новому отчету исследователя безопасности Луки Эбаха, печально известная вредоносная программа TrickBot используется в качестве точки входа для распространения новой версии Emotet на системы, ранее зараженные первой. Последний вариант имеет форму DLL-файла, причем первое развертывание было обнаружено 14 ноября. Европол назвал Emotet «самым опасным вредоносным ПО в мире» за его способность действовать как «открыватель дверей» для злоумышленников, получить несанкционированный доступ, став предшественником многих критических атак кражи данных и программ-вымогателей. Интересно, что операция загрузчика позволяла другим семействам вредоносных программ, таким как Trickbot, QakBot и Ryuk, проникать на машину. Обновление поверхности также важно не в последнюю очередь потому, что оно следует

Abcbot — новый развивающийся вредоносный ботнет-червь, нацеленный на Linux

Исследователи из группы безопасности Qihoo 360 Netlab опубликовали подробную информацию о новом развивающемся ботнете под названием «Abcbot», который, как было замечено в дикой природе, обладает функциями распространения, похожими на червей, для заражения систем Linux и запускает распределенный отказ в обслуживании (DDoS). нападения на цели. Хотя самая ранняя версия ботнета датируется июлем 2021 года, новые варианты, наблюдаемые совсем недавно, 30 октября, были оснащены дополнительными обновлениями для поражения веб-серверов Linux со слабыми паролями и подвержены уязвимостям N-day, включая пользовательскую реализацию DDoS. функциональность, свидетельствующая о том, что вредоносное ПО находится в стадии непрерывной разработки. Выводы Netlab также основаны на отчете Trend Micro, опубликованном в начале прошлого месяца, в котором сообщалось об атаках на Huawei Cloud с помощью вредоносных программ для майнинга криптовалюты и криптоджекинга. Вторжения также примечательны тем, что вредоносные сценарии оболочки специально отключили процесс, предназначенный для мониторинга и сканирования сервера

Satori

Исследователи безопасности бьют тревогу в отношении нового ботнета под названием Satori, активность которого за последние 12 часов была замечена на более чем 280 000 различных IP-адресов.

Satori — японское слово, означающее «пробуждение», — не новое, а вариант более печально известного вредоносного ПО Mirai IoT DDoS.

Ли Фэнпей, исследователь безопасности из Qihoo 360 Netlab, говорит, что вариант Satori неожиданно появился сегодня и начал сканирование портов 37215 и 52869.

Вариант Satori отличается от предыдущих версий Mirai

Согласно отчету, который Ли поделился сегодня с Bleeping Computer, вариант Mirai Satori сильно отличается от всех предыдущих чистых вариантов Mirai.

Предыдущие версии Mirai заражали устройства IoT, а затем загружали компонент сканера Telnet, который пытался найти других жертв и заразить их с помощью бота Mirai.

Вариант Satori не использует сканер, но использует два встроенных эксплойта, которые пытаются подключиться к удаленным устройствам через порты 37215 и 52869.

По сути, это делает Satori червем Интернета вещей, который может распространяться сам по себе без использования отдельных компонентов.

Рост благодаря таинственному эксплойту Huawei (нулевого дня?)

Ли говорит, что телеметрия, собранная инфраструктурой Netlab, зафиксировала 263 250 различных IP-адресов, сканирующих порт 37215, и 19 403 IP-адреса, сканирующих порт 52869, за последние 12 часов. Это более 280 000 ботов за последнюю половину дня.

Активность сканирования ботнета Satori

Примечателен ботнет, достигший такого огромного размера. Успех Satori в значительной степени обусловлен эксплойтом, который он доставляет на порт 37215. Согласно описанию Ли, это похоже на нулевой день.

"Информация о порте 37215 еще не полностью раскрыта. Наша команда отслеживала ее в последние несколько дней и получила некоторые сведения, но мы не будем ее обсуждать", – сказал Ли.

Дейл Дрю, главный специалист по безопасности провайдера широкополосного доступа в Интернет CenturyLink, сообщил ArsTechnica в интервью, опубликованном ранее сегодня, что, по его мнению, этот ботнет злоупотребляет уязвимостью нулевого дня в маршрутизаторах Huawei Home Gateway. конец ноября, о котором имеется очень мало подробностей.

Исследователь по безопасности поделился с Bleeping Computer подробностями о возможной уязвимости, а поиск уязвимых устройств в Shodan дает более 225 000 устройств, которые в настоящее время доступны в Интернете.

Shodan ищет уязвимые Устройства Huawei

Что касается другого эксплойта, на порту 52869, это для известной и старой уязвимости в устройствах Realtek (CVE-2014-8361), которая, скорее всего, была исправлена ​​​​на некоторых устройствах, поэтому сканирование этого эксплойта менее успешны.

Satori имеет связи с предыдущим ботнетом Mirai

Ли также указывает, что есть признаки связи ботнета, созданного с помощью варианта Mirai Satori, с другим ботнетом на основе Mirai, который Netlab видел в прошлом месяце и в котором было задействовано около 100 000 ботов, большинство из которых находится в Аргентине.

Неясно, управляет ли обеими ботнетами один и тот же человек, но Ли говорит, что текущий вариант Mirai Satori и предыдущий вариант на основе Mirai имеют общие имена файлов и статические функции, а также некоторые протоколы C2.

Сегодня исследователь безопасности сообщил Bleeping Computer, что они тоже считают, что два ботнета связаны между собой, а Satori появился из прошлогоднего варианта Mirai.

Сейчас исследователи безопасности все еще собирают информацию об этой новой угрозе, но общедоступные данные приманки подтверждают отчет Netlab [1, 2, 3, 4].

Через два года после Mirai ботнеты стали игрушками сценаристов

В сентябре 2016 года Twitter, CNN, Spotify и многие другие сервисы были отключены в результате крупнейшей в истории DDoS-атаки. Сегодня мы знаем его под названием Mirai, но в то время никто и подумать не мог, что эта атака исходит от множества устройств Интернета вещей (IoT), объединенных в ботнет.

Mirai был обнаружен исследователями MalwareMustDie в августе 2016 года. Хотя это было не первое обнаруженное вредоносное ПО для Интернета вещей , оно, безусловно, является самым известным.

После отключения большей части Интернета на восточном побережье США ситуация ухудшилась, когда создатель вредоносного ПО Анна-Сэмпай опубликовала исходный код. С тех пор мотивированные хакеры по всему миру использовали его в качестве основы для создания собственных вариантов ботнетов. В конце концов создатели первоначального вредоносного ПО были арестованы и признаны виновными в суде, но влияние публикации кода значительно ускорило создание ботнета. Начали появляться новые варианты, добавляющие новые функции и использующие различные уязвимости в незащищенных устройствах IoT.

Любой Skiddie может это сделать

Прошло уже два года после Mirai, а новые варианты все еще приносят хаос, разрушения и вред. Неопытные хакеры вносят небольшие изменения в исходный код Mirai, развертывают его и накапливают новые армии ботнетов. В некоторых случаях они даже сдают их в аренду в качестве ботнет-наемников.

Один такой киберпреступник появился на сцене в июле 2018 года, когда появилось несколько новых вариантов Mirai, вызвавших онлайн-дискуссию среди исследователей безопасности. Одним из участников был аккаунт в Твиттере без подписчиков, который указал, что исследователи допустили ошибку в классификации вариантов Mirai. Чтобы проявить себя, он опубликовал ссылку с исходным кодом семи вариантов Mirai. Эта задача побудила нас самостоятельно загрузить исходный код, чтобы классифицировать и определить, насколько эти семь вариантов действительно отличаются от Mirai (спойлер: не так уж сильно).

hacker-tweet-about-mirai-botnets

Рисунок 1. Дескриптор Twitter, ответственный за выпуск кода

Кратко о Mirai

Чтобы осветить различия между вариантами Mirai, давайте кратко рассмотрим, как работает Mirai. Оригинальный код Mirai работает следующим образом:

  1. Сканирует Интернет на наличие уязвимых устройств Интернета вещей.
  2. Попытки получить доступ с помощью грубой силы с использованием нескольких слабых учетных данных по умолчанию через протокол Telnet.
  3. Успешно заражает устройство, ставшее частью ботнета, и начинает сканировать другие уязвимые устройства в той же сети и выполняет атаку методом перебора, пытаясь заразить их.
  4. Периодически бот отчитывается перед сервером управления и контроля (C&C). C&C может отдавать команды или инструкции боту для запуска DDoS-атаки.

Поскольку большинство вариантов Mirai являются копиями исходного кода Mirai, они имеют схожую структуру кода. Они состоят из трех основных частей: бота, C&C-сервера и загрузчика. Часть бота написана на C, а модуль C&C написан на Go.

В целях этого анализа мы сосредоточимся на следующих просочившихся вариантах Mirai: Akiru, Katrina_V1, Sora, Owari, Saikin, Josho_V3 и Tokyo и их трех модулях в каталоге ботов, таких как:< /p>

  • table.c: содержит информацию о конфигурации
  • scanner.c: содержит список учетных данных для сканирования с целью обнаружения потенциально уязвимых устройств, а также для отправки отчета о сканировании загрузчику.
  • killer.c: содержит информацию о том, какие процессы должны быть уничтожены

Все расшифрованные пароли, строки и дополнительную информацию можно найти в дополнительной информации в конце этой статьи.

Анализ вариантов — что в имени?

Код Mirai — это структура, похожая на шаблон, и любой, кто находит новый способ использования нового устройства, может просто добавить его, что создаст «новый» вариант. Ключевыми переменными в ботнетах являются имя, а также учетные данные, которые он пытается использовать, архитектура, на которую он нацелен, а также порты, которые он отключает (убивает), чтобы другие вредоносные программы не закрепились на устройстве. Чтобы понять различия между вариантами, вы можете сравнить их друг с другом, как показано в таблице ниже.

differences-between-mirai-botnet-variants

Рисунок 2. Эта таблица содержит сводку изменений по вариантам

А теперь давайте подробнее рассмотрим некоторые отличия.

Именование

Все варианты Mirai имеют реализацию контрольной строки успешного выполнения. Большая часть контрольной строки варианта соответствует имени варианта. Есть несколько исключений, например, вариант Tokyo имеет контрольную строку Mirai по умолчанию, вариант Sora не имеет имени, а Josho_V3 имеет совершенно другое имя.

Комбинации учетных данных

Исходный код Mirai использовал список из шестидесяти двух жестко запрограммированных паролей для выполнения атаки методом грубой силы (атаки по словарю) на уязвимые устройства Интернета вещей. Список запутан и может быть расшифрован с помощью ключа DEADBEEF.

Глядя на его варианты, мы видим, что список паролей меняется для каждого бота. Мы извлекли и расшифровали все пароли, используемые каждым вариантом, чтобы выяснить, был ли список паролей повторно использован из кода Mirai и есть ли какое-либо совпадение. Самый большой список паролей был реализован в варианте Saikin с восемьюдесятью паролями, из которых только четыре совпадают с исходным кодом Mirai. Выбирая применение другого списка паролей, злоумышленник нацелен на разные устройства Интернета вещей.

Новые порты

Новые архитектуры

Все рассмотренные нами варианты Mirai ориентированы на те же архитектуры, что и Mirai, и только три из них: Sora, Saikin и Akiru добавили две новые архитектуры: ARC (Argonaut RISC Core) и RCE (Motorola RCE).

После небольшого изучения Mirai и его вариантов нам стало интересно попытаться понять, кто стоит за этими вариантами и дескриптором Twitter, который ими поделился.

Спускаемся по кроличьей норе, чтобы найти имя скидди

После просмотра кода, анализ которого приводится далее в этом посте, было довольно легко увидеть, что, хотя этот код был способен нанести большой ущерб, он ничем не отличался от оригинального Mirai. исходный код. Он воспользовался некоторыми преимуществами модульной архитектуры Mirai, чтобы потенциально взломать новые устройства и настроить защитную позицию на устройствах, которые он пытается заразить, но не представил ничего действительно нового или примечательного.

Что нас интересовало в первую очередь, так это узнать больше о том, как работал этот автор ботнета, поэтому мы решили создать кейс для установления личности автора.

Сначала мы подозревали, что за никнеймом 400kQBOT в Твиттере стоит известный злоумышленник и создатель Owari/Sora, который однажды в интервью представился как Anarchy . Он также был известен как Злой .

scarface-botnet-setup-service

Рисунок 4. Услуга по настройке ботнета, предлагаемая Scarface

У него также есть канал на YouTube, где он демонстрирует свои хакерские навыки, захватывая ботнеты других заносов. В одном видео он в режиме реального времени показывает, как завладел ботнетом Akiru, а затем сообщил об этом его создателю, нашему старому другу Wicked, в канале чат-приложения для «сотрудников денежной команды». Помимо Wicked, наше внимание привлекло еще одно знакомое имя: Anarchy. Так что, возможно, Wicked и Anarchy — это не один и тот же человек, а два разных человека из одной команды.

Наши подозрения, что 400kQbot и Лицо со шрамом — одно и то же лицо, подтвердились, когда в середине сентября он представился в твите под псевдонимом 400kQBot.

scarface-tweet-2

scarface-tweet-3

Итак, теперь мы подошли к кое-чему. Scarface становится новым и довольно разрушительным автором ботнета, склонным к привлечению исследователей и прессы. Но мы все еще не приблизились к пониманию, кто он (или она?).

Мы сосредоточились на подсказке, которую нашли при исследовании кода. Когда Mirai атакует устройство, он использует контрольную строку как признак успешного выполнения последовательности команд. У нас нет информации, как Лицо со шрамом получило доступ к этим вариантам, и мы не можем подтвердить, является ли он автором. Например, один из вариантов, Josho_V3, имеет другую строку проверки успешного выполнения: daddyl33t: апплет не найден.

Для тех, кто никогда не слышал эту историю: daddyl33t был 13-летним подростком, ищущим внештатную работу в сфере разработки, который пытался отточить свои навыки написания сценариев, скомпилировав ботнет QBot. Возможно, 13-летний юноша, ищущий славы, также является частью команды по зарабатыванию денег с Wicked и Anarchy. Возможно, это один и тот же человек.

У нас есть несколько вариантов и связей для рассмотрения, но ни один из них не указывает нам определенное направление. Лицо со шрамом троллит нас всех, когда он использует разные псевдонимы для разных штаммов вредоносных программ? Он один и тот же, что и daddyl33T, или просто упоминается как дань уважения? Упражнение дало нам некоторые зацепки, но недостаточно реальной информации, чтобы делать какие-либо выводы.

В конце концов, это всего лишь предположение, чтобы узнать, кто настоящий человек стоит за анонимным твиттером или дескриптором разногласий, и, возможно, это не главное, но это также не тот материал. Что интересно, так просто было создать несколько вариантов ботнета, используя общедоступный код, а затем продать их для получения прибыли и внимания.

Заключение

Создавать варианты Mirai на основе утекшего исходного кода до смешного просто, и неудивительно, что подающие надежды киберпреступники монетизируют свои армии ботнетов. Ботнет – это универсальный инструмент, который можно использовать для запуска DDoS-атак, криптомайнинга или работы в качестве прокси-сервера вредоносного ПО.

«Я не знаю, что сказать людям, а безопасность IoT — это шутка».
- WICKED , автор варианта ботнета

Мы все интенсивно используем технологии в то время, когда относительно легко создать вредоносное ПО, а после его создания сдать в аренду или продать его возможности. Любой может воспользоваться инфраструктурой Mirai, добавить несколько паролей здесь и там, проявить изобретательность с именем ботнета, и настало время шоу, готовое заражать ради славы и прибыли.

Тем не менее, мы изо всех сил пытаемся наполнить наши дома устройствами, которые буквально ЯВЛЯЮТСЯ игровым полем для этой игры с контролем над нашей вычислительной мощностью. Здесь не нужны темные искусства; ваши IoT-устройства сдаются в аренду.

Варианты ботнетов, подобные этим семи, основанным на Mirai, совершенствуются каждый день. Они все лучше берут под контроль устройства, выгоняют других, а затем блокируют свое положение на вашем устройстве. Кроме того, очень немногие устройства Интернета вещей можно обновить или защитить от вовлечения в армию ботнетов.

На протяжении десятилетий мы беспокоились о том, что вирусы могут получить доступ к нашим компьютерам и мобильным телефонам. Это правильно, но мы, кажется, слепы к иронии судьбы, что мы заблокировали наши ноутбуки только для того, чтобы оставить дверь в наши личные сети широко открытой в виде плохо защищенных устройств IoT.

Но что такое вычислительная мощность между друзьями?Являются ли ботнеты преступлением без жертв в эпоху Интернета вещей? Не так. Хотя обычному потребителю практически невозможно определить, заражено ли его IoT-устройство Mirai или одним из его вариантов, это может оказать заметное влияние на скорость обработки, энергопотребление и общую производительность. По мере того, как в нашу жизнь входит все больше и больше интеллектуальных устройств, возможности этих ботнетов заражать, вербовать и атаковать улучшаются, а вместе с ними и хаос, который они могут причинить.

Если у вас есть маршрутизатор дома, в домашнем офисе или в малом бизнесе, вы можете предпринять следующие шаги для защиты своей сети:

  1. Измените пароль администратора по умолчанию для своего маршрутизатора и любых устройств Интернета вещей, как только вы их получите.
  2. Обновляйте свои устройства с помощью последних обновлений встроенного ПО.
  3. Отключите удаленное управление на странице настроек маршрутизатора.
  4. Если вы не уверены, заражены ли ваши устройства, рассмотрите возможность сброса настроек устройства до заводских настроек и повторите действия, начиная с шага 1.

Avast — мировой лидер в области кибербезопасности, защищающий сотни миллионов пользователей по всему миру. Защитите все свои устройства с помощью отмеченного наградами бесплатного антивируса. Защитите свою конфиденциальность и зашифруйте свое онлайн-соединение с помощью SecureLine VPN.

При разработке основного программного обеспечения широко распространена практика повторного использования кодов, размещенных в Интернете. Эта практика ничем не отличается от разработки вредоносных программ. Утечка исходных кодов многих вредоносных программ позволяет многим начинающим хакерам и авторам вредоносных программ учиться и создавать свои собственные вредоносные программы.

В сентябре 2016 года исходный код Mirai просочился в хакерское сообщество Hackforums. Известно, что Mirai использовался для временного вывода из строя высококлассных сервисов с помощью массированных распределенных атак типа «отказ в обслуживании» (DDoS). С момента публикации этого кода в Интернете многие пытались изменить его, и в результате появилось множество вариантов и производных, пытающихся получить кусок пирога угроз IoT. 3 марта 2018 года у моего коллеги Дарио Дурандо была возможность представить наше исследование этих вариантов на конференции по безопасности RootedCon в Мадриде, Испания. Мы определили варианты, которые были получены из исходного исходного кода Mirai. От простых модификаций (таких как простое добавление дополнительных учетных данных в список учетных данных, доступных для атаки методом грубой силы) до более сложных подходов (таких как использование эксплойтов) для распространения вредоносного ПО на устройства IoT — все эти варианты по-прежнему используют основную кодовую базу Mirai. .

Узнав, что утекшие исходные коды вредоносных программ используются многими авторами вредоносных программ в своих собственных программах, мы в FortiGuard Labs заинтересовались поиском других вредоносных программ, использующих модули кода Mirai. Интересно, что одним из семейств, обнаруженных в нашем поиске, был бот Hide 'N Seek (HNS), который был обнаружен в январе 2018 года. HNS — это сложный ботнет, который использует P2P для связи с пирами/другими зараженными устройствами для получения команд. . В этой статье я расскажу, как код бота Mirai использовался в этом боте HNS.

Краткий обзор бота Mirai

Исходное вредоносное ПО Mirai состоит из следующих компонентов:

  • Бот – заражает и распространяется на устройства Интернета вещей с помощью грубой атаки и связывается с сервером управления и контроля (C2) для получения команд от хозяина/пользователей ботнета для запуска DoS-атак против указанных целей.
  • Командно-контрольный сервер — используется для управления зараженными устройствами Интернета вещей с целью запуска DDoS-атак против определенных целей.
  • Сервер отчетов — прослушивает отчеты с зараженного устройства IoT, чтобы сообщить о новом устройстве IoT, потенциальном жертве. Этот отчет содержит IP-адрес и учетные данные новой жертвы.
  • Загрузчик — загружает бота на новое устройство-жертву.

В этой статье мы сосредоточимся только на боте. Бот Mirai состоит из 3 основных модулей:

· Сканер – генерирует список случайных IP-адресов для перебора и использования в ботнете.

Бот Hide ‘N Seek и как использовался код Mirai

HNS был обнаружен в январе 2018 г. Это вредоносное ПО для Интернета вещей более сложное, чем Mirai, в том смысле, что оно взаимодействует сложным и децентрализованным образом (специально созданная одноранговая связь (P2P)) для получения команд для выполнять различные вредоносные программы. HNS не запускает DoS-атаки, но у него была обнаружена возможность эксфильтрации данных и выполнения дополнительного кода.

На первый взгляд трудно заметить, что Hide ‘N Seek использует некоторые модули Mirai, особенно если вы не читали исходный код Mirai или не анализировали двоичные файлы Mirai раньше. Однако есть несколько замечательных подключаемых модулей IDA, которые можно использовать для идентификации функций в двоичном файле, которые имеют аналогичные функции в другом двоичном файле. Однако они не работали с образцами, которые я проанализировал, поэтому мне пришлось проводить идентификацию вручную.

Если вы попытаетесь скомпилировать исходный код Mirai, вы заметите, что его зашифрованные строки хранятся в доступном только для чтения сегменте данных (.rodata) скомпилированного двоичного файла ELF. Имея это в виду, я начал проверять сегмент .rodata двоичного файла HNS на наличие возможных зашифрованных строк.

Когда я проверил ссылку кода на один из наборов данных, я попал в ту часть бинарника, где указатели на эти данные передаются в качестве первого параметра той же функции. Это натолкнуло меня на мысль, что эта функция может быть функцией расшифровки.

Изучение функции показывает, что на самом деле это процедура расшифровки. Расшифровка начинается с жестко запрограммированного однобайтового ключа XOR. Этот ключ подвергается операции XOR с первым байтом строки, после чего результат добавляется к ключу. Сумма результата XOR и ключа используется как ключ для второго байта. Та же процедура применяется к следующим байтам. Я видел два разных ключа (0xA (ARM) и 0xA0 (x64)) из проанализированных мной двоичных файлов, но этот ключ можно легко изменить.

Чтобы упростить расшифровку строк, можно написать простой скрипт IDA на языке Python для автоматического поиска адресов зашифрованных строк и последующего применения алгоритма расшифровки. Мы также можем использовать его для добавления комментариев, содержащих расшифрованные строки.

Теперь, когда мы их видим, некоторые из этих строк кажутся знакомыми. Некоторые из этих же строк можно найти и в Mirai.

Когда эти строки расшифрованы, становится проще идентифицировать функции Mirai, используемые HNS, просто проверяя ссылки на эти строки и затем сравнивая их с функциями в исходном исходном коде Mirai.

Несмотря на то, что многие функции выглядят так, как будто они скопированы напрямую, многие функции были явно изменены, чтобы соответствовать потребностям этого нового вредоносного ПО. Бот HNS состоит из трех основных модулей: сканера, убийцы процессов и функции ожидания подключения от одноранговых узлов.

Два модуля, сканер и убийца, имеют структуру кода, очень похожую на структуру кода сканера Mirai и модулей убийцы.

Что касается модуля убийцы, они оба убивают процессы, связанные с другими ботами, такими как QBOT, Zollard и даже сам Mirai.

HNS использует как минимум три эксплойта в проанализированных мной образцах. Два используются для распространения. Один из них нацелен на модемы/маршрутизаторы Netgear DGN DSL (также используемые ботом Reaper), а другой нацелен на маршрутизаторы TP-Link. В то время как оригинальный Mirai не использует эксплойты для распространения, другие модификации используют для распространения другие различные эксплойты.

После успешного входа через telnet в модем ZyXEL PK5001Z третий модем (CVE-2016-10401) используется для эскалации пользователя до root с помощью «su» с паролем «zyad5001».

Другая информация HNS

Эта статья не посвящена самой вредоносной программе HNS. Вместо этого в этой статье описывается, как код Mirai использовался в HNS. Это позволяет нам изучить, как мы можем использовать эту технику для поиска других вредоносных программ, использующих код Mirai. Однако здесь следует упомянуть и некоторые очень интересные особенности HNS. Например, HNS использует настраиваемую P2P-связь с одноранговыми узлами и/или другими зараженными устройствами, используя случайно сгенерированный порт UDP или порт, указанный во время выполнения. В отличие от Mirai, который был разработан для запуска DoS-атак против определенных целей, это вредоносное ПО IoT получает команды через одноранговые узлы для эксфильтрации данных и выполнения дополнительного кода. Эта одноранговая связь усложняет анализ вредоносного ПО. Децентрализованный способ получения команд также затрудняет определение того, откуда подаются команды и где расположены точки сброса данных.

Как мы видели в прошлом, утечка исходного кода вредоносных программ приводит к созданию новых вредоносных программ. Теперь мы видим, что утечка исходного кода Mirai проходит через тот же процесс, и поэтому мы ожидаем появления новых семейств вредоносных программ, использующих исходный код Mirai.

Как всегда, используя знания, полученные в ходе этого исследования, мы в FortiGuard Labs будем продолжать отслеживать и даже искать вредоносные программы, использующие исходный код Mirai.

Fortinet определяет образцы HNS как Linux/Hns.A!tr, а эксплойты, используемые как ZyXEL.PK5001Z.Modem.Backdoor, NETGEAR.DGN1000.CGI.Unauthenticated.Remote.Code.Execution и TP-Link.Wireless. Маршрутизатор.Бэкдор .

-= Команда FortiGuard Lion =-

<Р> 8cb5cb204eab172befcdd5c923c128dd1016c21aaab72e7b31c0359a48d1357e (64) 095c13175e0908e67289bd5c619745ea905a73600ccb9c3f12df3e1c018e1346 (ARM) 2da20a90a52e51897113438ac819362e5e04f8a7435c578d7d306afb482ac71e (MIPS)

Дополнительную информацию о недавних угрозах см. в нашем последнем Ежеквартальном отчете об угрозах.

Подпишитесь на наши еженедельные аналитические обзоры FortiGuard или на нашу службу FortiGuard Threat Intelligence Service.

Читайте также: