SOS :: Security Operation Space
28 марта, четверг, 00:00
|
Hot News:

Wicked: новый наследник Mirai

21 мая 2018 г., понедельник, 01:22

Новая модификация слитого в Сеть IoT-бота использует как минимум три эксплойта для доставки целевой нагрузки.

Проведенный в Fortinet анализ показал, что новый зловред, названный ими Wicked, является модификацией IoT-бота Mirai и использует эксплойты для доставки целевой нагрузки на уязвимые устройства.

После слива исходного кода Mirai осенью 2016 года его производные стали расти, как грибы. Наиболее известен их них Satori, автор которого за полгода создал несколько вариантов, в том числе ориентированный на роутеры D-Link бот Masuta. Все эти итерации Mirai заимствуют в основном его код, ответственный за сканирование портов, а для проникновения на устройство зачастую используют не брутфорс, а эксплойт.

Таким же преемником оказался и Wicked: в его сканер, по свидетельству экспертов, интегрированы как минимум три эксплойта для хорошо известных уязвимостей. Обнаружив открытый порт 8080, новоявленный зловред пытается применить эксплойты для роутеров Netgear DGN1000 и DGN2200 версии 1 (ими также оперирует IoTroop/Reaper). На порту 81 он атакует брешь удаленного исполнения кода в прошивке камер видеонаблюдения производства китайской компании TVT, на 8443 — баг инъекции команд в Netgear R7000 и R6400 (CVE-2016-6277). На порту 80 эксплойт осуществляется не напрямую, а с помощью вредоносного веб-шелла, ранее внедренного в скомпрометированный сервер.

Основной функцией Wicked, по свидетельству Fortinet, является загрузка другой итерации Mirai, созданной тем же автором. Как оказалось, вирусописатель использует ник Wicked — это слово встречается в коде даунлоудера и таким образом подсказало исследователям имя для находки. Экспериментируя с кодом Mirai, разработчик и его коллега по цеху создали проекты Sora, Owari и Omni.

Первые два бота атаковали уязвимые устройства, используя список дефолтных паролей. Затем авторы отказались от Sora, а в Owari добавили несколько эксплойтов, в том числе для RCE-уязвимости CVE-2017–17215 в роутерах Huawei HG532 (ее использует также вариант Satori, известный как Okiru).

В ходе тестирования эксперты обнаружили, что вместо Owari на уязвимые устройства из того же вредоносного домена закачивается более новая полезная нагрузка — Omni. Для его доставки используется эксплойт к уязвимости CVE-2018-10561 в роутерах GPON, которая после публикации была быстро взята на вооружение злоумышленниками.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
19:45
17:45
14:45
12:45
11:45
09:45
09:45
19:45
18:45
16:45
15:45
14:45
13:45
10:45
10:45
09:45
19:45
19:45


© 2013—2024 SOS :: Security Operation Space (Пространство Операций Безопасности)  // AMS  // Обратная связь  | 0.082
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.