SOS :: Security Operation Space
19 сентября, суббота, 00:00
|
Hot News:

Roboto: новый p2p-ботнет с DDoS-функциональностью

22 ноября 2019 г., пятница, 05:54

Злоумышленники заражают Linux-серверы, используя уязвимость в Webmin, которую разработчики пропатчили в августе.

Обнаружен растущий ботнет на Linux-серверах, способный проводить DDoS-атаки. Для распространения своего зловреда ботоводы используют уязвимость в веб-интерфейсе Webmin, которую разработчики пропатчили в августе.

Проблема, получившая идентификатор CVE-2019-15107, позволяет удаленно и без авторизации выполнить в системе любую команду с правами root. Эксплуатация возможна лишь в том случае, когда порт Webmin-службы (TCP/10000) открыт и доступна опция смены пароля.

Согласно статистике разработчика, инструмент удаленного администрирования Webmin насчитывает более 1 млн установок. На момент выхода патча для CVE-2019-15107 в Интернете числилось свыше 200 тыс. серверов на базе Unix-подобных ОС с открытым TCP-портом 10000; более 13 тыс. из них использовали уязвимую версию Webmin.

О существовании ботнета, который в Qihoo 360 нарекли Roboto, исследователи впервые узнали в конце августа, обнаружив среди детектов подозрительный ELF-файл. В октябре на ловушках объявился другой незнакомый образец, оказавшийся загрузчиком нового бота. За три месяца наблюдений экспертам удалось собрать достаточно материала для анализа, и два дня назад они опубликовали полученные результаты.

Как оказалось, загрузчик проникает на сервер посредством эксплуатации вышеупомянутой уязвимости в Webmin. Модуль бота он скачивает с двух вшитых в код URL в соответствии с архитектурой используемого жертвой ЦП (i386 или x86_64). Он также расшифровывает полезную нагрузку и запускает ее на исполнение.

Набор функций нового Linux-бота позволяет ему совершать следующие действия:

  • создать обратный шелл, позволяющий злоумышленникам выполнять шелл-команды на зараженном хосте;
  • собирать информацию о системе, запущенных процессах и сети и отправлять ее на удаленный сервер;
  • выполнять системные команды;
  • запускать загруженные файлы;
  • деинсталлироваться;
  • проводить DDoS-атаки типа ICMP flood, HTTP flood, TCP flood и UDP flood.

Приводя этот перечень, исследователи отметили, что за все время мониторинга Roboto им удалось лишь один раз зафиксировать команду, связанную с DDoS, — по всей видимости, ботоводы пока сосредоточены на расширении своих владений.

Чтобы скрыть свое присутствие на зараженной машине, новый бот создает скрипт самозапуска и маскирует имена своих файлов и процессов. Для обеспечения целостности и сохранности своих компонентов и отправляемых данных Roboto использует множество алгоритмов, в том числе Curve25519, Ed25519, TEA, SHA256 и HMAC-SHA256.

Однако самым большим сюрпризом для исследователей оказалась внутренняя структура ботнета: он построен как одноранговая сеть, то есть его очень трудно обезвредить. В код бота Roboto вшиты четыре группы IP-адресов пиров и открытые ключи для шифрования данных и проверки подлинности. Закрытые ключи зловред хранит в создаваемых им конфигурационных файлах, вместе с информацией о пирах и портах.

Команды боту могут подаваться через сокет домена Unix, и новый участник сети начнет их транслировать другим пирам. На настоящий момент удалось выявить две команды Roboto: info и peers. По первой бот должен предъявить прописанные в коде данные и информацию о публичном ключе, по второй — сведения о текущем p2p-собеседнике.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
13:15
11:15
11:15
09:15
07:15
07:15
06:15
16:15
13:15
12:15
10:15
09:15
06:15
13:15
11:15
09:15
07:15
06:15


© 2013—2020 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.338
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.