Посилений ботнет Aidra заразив 3500 пристроїв менше, ніж за тиждень



Дані про нової атаки з'явилися з блогу користувача з ніком Unixfreakjp. В його публикации йдеться про новий, більш потужному, ніж Mirai, ботнеті інтернету речей. Йому вдалося заразити близько 3500 пристроїв у місячний термін за п'ять днів. На сьогодні ця атака стала самої «вдалою» з подібних за останній час. Завдяки високій швидкості атаки, кількість порушених бот-клієнтів досягло такого рівня з моменту виявлення завантажувального файлу. Після атаки на Dyn це подія, ймовірно, стане лише початком прийдешніх більш неприємних подій для всього інтернету.

У цій замітці ми розкриваємо подробиці того, як працює черв'як і розповідаємо, кого підозрюють в організації атаки.

Що за звір
Шкідливе ПО отримало назву Linux/IRCTelnet. Програма буквально зшита з шматків коду від кількох відомих і до останньої атаки, шкідливих програм, атакуючих підключені до інтернету пристрої по всьому світу.

Linux/IRCTelnet можна вважати новою версією вихідного коду ботнету Aidra. Логіку сканування Telnet вредительский Linux/IRCTelnet запозичив у ботнету Bashlight. Як результат, Linux/IRCTelnet містить список деяких 60-ти широко використовуваних комбінацій логіна і пароля, використаних у Mirai. А триває все за допомогою додавання коду на сайти, що знаходяться під атакою. Ці веб-платформи зазвичай працюють з інтернет-протоколом нового покоління IPv6.

Як багато ботнети, Linux/IRCTelnet не має того, що фахівці з шкідливому ЗА називають «сталістю» не в традиційному сенсі слова. Простіше кажучи, щоб знезаразити пристрої, що піддавалися атаці, їх треба перезавантажити з поверненням до заводських установок. Ця тимчасова міра допоможе ненадовго, тільки якщо ці пристрої не захищені додатково зміною даних, облікового запису або розривом зв'язку з Telnet.

Коли пристрій заражене, його айпі-адреса заноситься в базу і оператор ботнету зможе повторно заражати його знову і знову, до тих пір, поки не втратить зв'язок з каналом контролю і управління.

Батьківський код
Про Aidra вперше заговорили в ході досить сміливого і етично спірного исследования, проведеного компанією Guerilla. Початковою метою його було виміряти рівень безпеки всього інтернету. В процесі було інфіковано понад 420 000 Linix-машин, підключених до всесвітньої мережі. Ось так Guerilla створила воістину епічний ботнет зі здатністю сканувати мільярди ip-адрес. З анонімного джерела відомо, що Aidra захопила заражені пристрої для здійснення безлічі DDoS-атак. Однак це спрацювало на обмеженій кількості гаджетів (приблизно 30 000 пристроїв).

Подробиці
В блозі «Malware must die!» Unixfreakjp зробив дуже цікавий і детальний аналіз. Нижче наведені деякі витяги з нього.

Встановлено, що атаки відбувалися через протокол Telnet з айпі-адрес зі списку нижче.



Вони починалися як груба спроба авторизуватися в системі і, якщо це виходило, то викликалися системні команди
shell
,
s
,
free
. Вони вирушали з наступною однорядкової командою для завантаження та встановлення програми-шкідника.



А після цього оператор атаки ботнету виконав команду
/etc/firewall_stop
для закриття сесії. Згідно зафіксованої спробі атаки, все це відбулося менш, ніж за одну секунду. Мається на увазі лише надсилання завантажувача за протоколом Telnet. Тривалість процесу завантаження не враховується.

Нижче показаний скрипт установника шкідливого ПЗ.



Бінарний аналіз Linux/IRCTelnet показав, що ELF (троянський скрипт для DDoS-атак лінукс-пристроїв) в основі має С++. Здебільшого скомпільовано за допомогою uClibc, крім бінарного ARM, за яким стоїть GCC-компіляція. В цілому це не масштабний проект. Ще одне цікаве зауваження — хардкод ELF містить повідомлення на італійській мові.



Можна припустити, що коментарі з скріншоту вище повинні щось значити для інших. Але це не так — повідомлення потрібні для здійснення шкідливої активності ботнету. Автор аналізу передбачає, що за атакою може стояти італійський хакер, якого можна знайти за адресою d3m0n3 eVil or (d4rk3v1l) з IRCNet каналу #hack.it

У Linux/IRCTelnet немає ніякого постійного автостарт або руткіта, або чогось ще, що може пошкодити ваш гаджет, підключений до інтернету. Скрипту ELF властиво поміщати шкідницьку схему out-of-the-box для того, щоб заразити заново: перезавантажити бота, навіть оновити старі версії і видалити конкуруючі ботнети. Для досягнення цієї мети чудово підходить протокол Telnet, який як посередник заражає кодом завантажувача обрану мережу пристроїв, а вже мережа запускається і виконує свою шкідницьку функцію. Пам'ятайте, що як тільки ботнет заражений, консоль сервера CNC отримує список останніх заражених сайтів, так що людина, яка контролює атаку, може послати команду повторного зараження так швидко як він зрозуміє, що один або більше специфічних бот-клієнтів прибрані, видалені або неактивні.

Тобто тут суть в тому, що після зараження пристрій інтернету речей консоль сервера управління оновлюється записом з новою жертвою. Зловмисник може вислати команду на повторне зараження, якщо зрозуміє, що клієнт бота видалений або неактивний.

далі
Мовчання Брайана Кребса лише підтверджує рівень існуючих проблем у сучасній мережі. Справа в тому, що ця простота, з якою на мережу обрушуються нові хвилі DDoS-атак приводить нас до думки, що зламати те, що два роки тому було нікому не потрібно, дуже легко для подальшої успішної атаки на авторитетні інтернет-платформи. Підводячи підсумки, Linux/IRCTelnet — це перший гонець епохи шкідливого ПЗ нового покоління, яке з готовністю підтверджує свої чималі здібності шкодити. Те, як швидко збільшується кількість підключених до інтернету розумних пристроїв, підтверджує, що проблеми не за горами. Дуже багато координованого шкоди можна завдати відкритому глобального сервісу Telnet.

Раніше про інтернеті речей ніхто толком не знав. Все просто пишалися тим, що отримали продвинутю маркетологами функцію підключення до мережі. Як говорили, це ж так зручно, що вся інформація передається в мережу. Чим зручно? Та ладно, навіщо всюди мати доступ до графіку своєї ваги? Ну дійсно, навіщо на чайнику слухати радіо або дізнаватися погоду? Правда, це зайві «навороти». Постійний доступ до мережі насправді гостро необхідний у якихось закритих від публічності проектах з розподіленими частинами. У таких місцях про безпеку дбають серйозно. Виходить, що створене заради прибутку приносить несподіваний шкоди глобальних масштабів.

Так що, якщо вам насправді не потрібно ще одне-пристрій підключений-в-моєму-будинку-до-інтернету, відключіть його від мережі, досить електричної.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.