Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Китайские исследователи обнаружили растущий p2p-ботнет, составленный из роутеров и IoT-устройств.
Китайские исследователи обнаружили новый p2p-ботнет, составленный из роутеров и IoT-устройств. Анализ лежащей в его основе вредоносной программы показал, что ее создатели позаимствовали часть кода Gafgyt/BASHLITE, в том числе реализацию функциональности, позволяющей проводить DDoS-атаки.
Linux-боты, которым в Qihoo 360 присвоили кодовое имя Mozi, распространяются посредством подбора паролей к службе Telnet, а также с помощью эксплойтов к давним уязвимостям, которые до сих пор присутствуют в некоторых подключенных к Интернету устройствах. За четыре месяца наблюдений специалисты компании выявили три версии Mozi, которые различаются лишь способом атаки на Telnet.
Список эксплойтов, которыми оперируют боты, содержит десяток позиций, в том числе CVE-2014-8361 (для устройств, использующих Realtek SDK), CVE-2016-6277 (роутеры Netgear R7000 и R6400), CVE-2017-17215 (Huawei HG532), CVE-2018-10561 и CVE-2018-10562 (GPON-роутеры Dasan). В этот перечень также входят три эксплойта для цифровых видеорегистраторов разного производства.
Функции Mozi определены в конфигурационном файле. Как показал анализ, зловред способен:
Зловред также умеет защищаться от конкуренции, блокируя доступ к зараженному устройству по SSH и Telnet. Чтобы воспрепятствовать угону ботнета, авторы Mozi предусмотрели проверку подлинности и целостности синхронизируемых конфигурационных файлов. Каждый из них заверяется цифровой подписью, создаваемой по алгоритму ECDSA, 384-битные ключи которого вшиты в код зловреда и зашифрованы путем выполнения операции XOR.
Ботнет на основе Mozi построен как одноранговая сеть, при этом обмен информацией между пирами осуществляется по протоколу DHT. Из известных IoT-зловредов такой же способ распространения файлов используют Hajime и Rex, однако ботоводы Mozi создали собственный, расширенный вариант DHT, чтобы скрыть раздачу полезной нагрузки в обычном DHT-трафике.
Новый Linux-зловред общается с другими пирами, оперируя списком из восьми доступных адресов (IP и доменов) — таких групп в разных вариациях пока зафиксировано восемь. В конфигурационном файле Mozi также обозначены узлы начальной загрузки, через которые новоявленный бот может подключиться к p2p-сети.
Размеры ботнета, попавшего в поле зрения Qihoo 360 в начале сентября, неизвестны, однако исследователям удалось внедрить в него свой пир, и они надеются в скором времени получить представление о количестве активных узлов Mozi. Все собранные на настоящий момент данные пока лишь свидетельствуют о том, что число заражений растет.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |