html текст
All interests
  • All interests
  • Design
  • Food
  • Gadgets
  • Humor
  • News
  • Photo
  • Travel
  • Video
Click to see the next recommended page
Like it
Don't like
Add to Favorites

Обнаружены сразу два новых IoT-ботнета: Masuta и Hide ‘N Seek

Masuta

Аналитики компании NewSky Security заметили, что автор ботнета Satori, о котором мы не раз писали за прошедшие месяцы, создал новый IoT-ботнет — Masuta. Интересно, что Masuta атакует в основном роутеры, но использует для этого не только приемы, хорошо знакомые со времен появления вредоноса Mirai, но эксплоит для старого бага в D-Link HNAP.

Если ранее ИБ-специалисты предполагали, что разработчик Satori – обычный скрипт-кидди, теперь эксперты NewSky Security пишут, что их коллеги явно ошиблись в оценке умений хакера. Создав Masuta, разработчик, известный под псевдонимом Nexus Zeta, доказал, что он далеко не новичок.

Изучив исходные коды малвари, найденные на закрытом хакерском форуме, доступном только по приглашениям, исследователи обнаружили две вариации вредоноса: Masuta и PureMasuta. Если первая версия представляет собой очередной, немного доработанный клон Mirai, то вторая версия активно эксплуатирует старую уязвимость в D-Link HNAP, чтобы пополнять ряды нового ботнета.

Данный баг позволяет осуществлять инъекции через Home Network Administration Protocol (HNAP) и исходно был найден еще в 2015 году в устройствах компании D-Link. HNAP базируется на протоколе SOAP (Simple Object Access Protocol) и позволяет администратору удаленно управлять сетевыми устройствами. Из-за уязвимости злоумышленник может обойти аутентификацию, использовав специально созданный SOAP-запрос, и в итоге получает возможность выполнить на уязвимом устройстве произвольный код.

По данным исследователей, оба варианта малвари делят один управляющий сервер, расположенный по адресу 93.174.93.63. Именно оттуда PureMasuta загружает shell-скрипт для атак на уязвимые устройства.

«Nexus Zeta явно не новичок в вопросах использования SOAP-эксплоитов. Злоумышленник уже был замечен в использовании двух других эксплоитов, связанных с SOAP (CVE-2014–8361 и CVE-2017–17215), которые он применял для своего проекта Satori», — пишут специалисты.

Таким образом, эксплуатация багов TR-069 и EDB 38722 становится уже третьим и четвертым инструментами в арсенале разработчика.

Hide ‘N Seek  (HNS)

Еще один новый ботнет обнаружили специалисты компании Bitdefender. Угроза получила название Hide ‘N Seek (HNS, «Игра в прятки») и впервые появилась в начале января 2018 года. После этого ботнет уже успел пропасть с радаров специалистов и появиться вновь. За это время новая угроза, атакующая IoT-девайсы, успела разрастись с 12 скомпрометированных устройств до 24 000.

Эксперты предупреждают, что HNS отличается об большинство современных ботнетов, атакующих интернет вещей. Дело в том, что HNS строится не на базе модифицированной версии Mirai и демонстрирует куда большее сходство с малварью Hajime, то есть тоже использует децентрализованную peer-to-peer архитектуру. Причем если в случае Hajime авторы вредоноса использовали протокол BitTorrent, то разработчики HNS создали собственный механизм для P2P-коммуникаций.

Исследователи пишут, что инструкции и команды получают друг от друга, плюс каждый зараженный хост хранит у себя список всех IP-адресов других ботов, который может обновляться в режиме реального времени. Боты способны выполнять команды на извлечение данных, выполнение кода и вмешиваться в работу устройств. При этом каждый зараженный девайс выступает сразу C&C-сервером, файловым сервером и платформой для перегруппировки.

HNS распространяется посредством комбинирования словарных брутфорс атак и жестко закодированного списка учетных данных, обнаруживая в сети устройства с открытыми портами Telnet, но механизм распространения тоже сильно кастомизирован. Так, вредонос работает подобно червю, и атака начинается того, что он генерирует случайные IP-адреса и пытается установить соединение raw socket SYN с каждым адресом из полученного списка. После заражения устройства, HNS ищет другие цели в той же LAN-сети, а также запускает сервер TFTP (Trivial File Transfer Protocol) для доставки малвари.

Как это ни странно, функциональности, связанной с DDoS-атаками специалисты пока не обнаружили. Из-за этого эксперты полагают, что злоумышленники планируют использовать ботнет как прокси-сеть. Хуже того, исследователи отмечают, что операторы ботнета могут извлечь практически любые файлы с зараженных устройств.

Читать дальше
Twitter
Одноклассники
Мой Мир

материал с xakep.ru

1

      Add

      You can create thematic collections and keep, for instance, all recipes in one place so you will never lose them.

      No images found
      Previous Next 0 / 0
      500
      • Advertisement
      • Animals
      • Architecture
      • Art
      • Auto
      • Aviation
      • Books
      • Cartoons
      • Celebrities
      • Children
      • Culture
      • Design
      • Economics
      • Education
      • Entertainment
      • Fashion
      • Fitness
      • Food
      • Gadgets
      • Games
      • Health
      • History
      • Hobby
      • Humor
      • Interior
      • Moto
      • Movies
      • Music
      • Nature
      • News
      • Photo
      • Pictures
      • Politics
      • Psychology
      • Science
      • Society
      • Sport
      • Technology
      • Travel
      • Video
      • Weapons
      • Web
      • Work
        Submit
        Valid formats are JPG, PNG, GIF.
        Not more than 5 Мb, please.
        30
        surfingbird.ru/site/
        RSS format guidelines
        500
        • Advertisement
        • Animals
        • Architecture
        • Art
        • Auto
        • Aviation
        • Books
        • Cartoons
        • Celebrities
        • Children
        • Culture
        • Design
        • Economics
        • Education
        • Entertainment
        • Fashion
        • Fitness
        • Food
        • Gadgets
        • Games
        • Health
        • History
        • Hobby
        • Humor
        • Interior
        • Moto
        • Movies
        • Music
        • Nature
        • News
        • Photo
        • Pictures
        • Politics
        • Psychology
        • Science
        • Society
        • Sport
        • Technology
        • Travel
        • Video
        • Weapons
        • Web
        • Work

          Submit

          Thank you! Wait for moderation.

          Тебе это не нравится?

          You can block the domain, tag, user or channel, and we'll stop recommend it to you. You can always unblock them in your settings.

          • XakepVideo
          • nexus
          • бот
          • домен xakep.ru

          Get a link

          Спасибо, твоя жалоба принята.

          Log on to Surfingbird

          Recover
          Sign up

          or

          Welcome to Surfingbird.com!

          You'll find thousands of interesting pages, photos, and videos inside.
          Join!

          • Personal
            recommendations

          • Stash
            interesting and useful stuff

          • Anywhere,
            anytime

          Do we already know you? Login or restore the password.

          Close

          Add to collection

             

            Facebook

            Ваш профиль на рассмотрении, обновите страницу через несколько секунд

            Facebook

            К сожалению, вы не попадаете под условия акции