Эксперты регистрируют пробуждение новой инкарнации Mirai

07 декабря 2017 г., четверг, 16:31

Новый IoT-зловред Satori, возможно, использует неизвестную уязвимость нулевого дня.

ИБ-исследователи предупреждают о неожиданном появлении нового масштабного ботнета, который разогнался с нуля до 280 тысяч заражений всего за 12 часов. Угрозу окрестили Satori («Пробуждение») — как полагают эксперты, это новый вариант известного ботнета Mirai, который использовался для масштабных DDoS-атак, в том числе на крупного DNS-провайдера Dyn в 2016 году.

Бот Mirai заражал незащищенные IoT-устройства — прежде всего подключенные к сети камеры наблюдения — и загружал на них компонент для сканирования открытых Telnet-портов, чтобы попадать на другие устройства. Новый вариант действует иначе: он не полагается на сканер, а сразу использует два встроенных эксплойта для атаки на порты 37215 и 52869. Способность Satori к самораспространению означает, по определению, что он является червем.

Исследователей привлек прежде всего невероятно быстрый рост ботнета — за чуть более чем 12 часов появилось более 280 тысяч ботов. Такую высокую продуктивность ботнета можно объяснить эксплуатацией уязвимости нулевого дня. Брешь, при помощи которой Satori атакует порт 37215, пока неизвестна, вторая же уязвимость изучается.

Возможно, пока неизвестная уязвимость, — это RCE-баг в роутерах Huawei Home Gateway, который нашли в ноябре. В мире, по данным Shodan, может насчитываться около 255 тысяч незащищенных устройств. Вторая эксплуатируемая брешь — это давний, но не до конца залатанный баг в оборудовании Realtek.

В прошлом месяце был обнаружен еще один ботнет с похожими на Mirai характеристиками. Он разросся до 100 тысяч ботов, использовал баг в оборудовании Zyxel и в основном орудовал в Аргентине: атаки пришлись на сеть телекоммуникационного провайдера Telefonica. Эксперты полагают, что оба ботнета могут быть связаны общим оператором и, вероятно, Satori эволюционировал из первого ботнета.

Threatpost

нравится

не нравится

Рейтинг:

Всего голосов: 1

Комментарии

Добавить

Нет комментариев

Новые материалы в Разное:

RuStore открыл доступ иностранным разработчикам // 08 февраля

CISA опубликовало декриптор в помощь жертвам шифровальщика ESXiArgs // 08 февраля

Google обещает блюрить непристойные и жестокие картинки поиска // 08 февраля

Бизнес предлагает продавать алкоголь по 2FA // 08 февраля

Последние новости

19:45		RuStore открыл доступ иностранным разработчикам
17:45		CISA опубликовало декриптор в помощь жертвам шифровальщика ESXiArgs
14:45		Google обещает блюрить непристойные и жестокие картинки поиска
12:45		Бизнес предлагает продавать алкоголь по 2FA
11:45		Исследователь взломал веб-сервис Toyota с внутренними документами
09:45		Дешёвые китайские Android-смартфоны передают слишком много данных владельца
09:45		Почему Tor медленный: неизвестные семь месяцев досят луковую сеть
19:45		Дефектный шифратор Linux-версии Cl0p позволил экспертам создать декриптор
18:45		Для детского билета на футбол теперь нужны ПДн ребенка
16:45		Загрузчик GuLoader использует NSIS-скрипты в атаках на коммерсантов
15:45		НКЦКИ: DDoSом прикрывают более серьезные атаки
14:45		МСофт и Crosstech Solutions Group выводят файловый обмен на новый уровень
13:45		Эксперты оценили идею уголовного срока за утечки
10:45		Поддержка Microsoft Authenticator на Apple Watch прекращена
10:45		Атакующие бэкдорят Windows с помощью тулкита Sliver и техники BYOVD
09:45		Полиция взломала мессенджер Exclu для слежки за киберпреступниками
19:45		В OpenSSH устранили уязвимость грозящую удаленным исполнением кода
19:45		Яндексу не хватает видеокарт Nvidia

Все новости

Добавить комментарий к новости
Ваше имя: *
Сообщение: *

Эксперты регистрируют пробуждение новой инкарнации Mirai

Добавить комментарий к новости