В конце апреля исследователи информационной безопасности из Bitdefender LABS обнаруженный новая версия ботнета Hide and Seek (HNS), о которой стало известно известен в начале 2018 года.
Он использует собственный P2P-протокол и является первым ботнетом, который «выживает» даже после перезагрузки устройства, на котором он установился.
Расскажем, как HNS это делает и как защитить от этого устройства Интернета вещей.
/Фликр/ Крис Ю / СС
Ботнет» игры прятки» со специалистами по информационной безопасности от 10 января: на тот момент сеть «Прятки» состояла всего из 12 устройств.
Большинство из них представляли собой IP-камеры корейской компании Focus H&S, и их IP-адреса были явно прописаны в коде.
После этого ботнет «спрятался» и обнаружил себя только 20 января, но в его составе уже было 14 тысяч зараженных устройств.
После чего ботнет продолжил активное распространение и удалось заразить около 90 тысяч уникальных устройств.
И вот, в апреле, появилась его новая версия.
Как работает ботнет?
Новая версия ботнета содержит ряд улучшений в механизмах распространения.Например, он научился эксплуатировать еще две уязвимости IP-камер (подробнее Здесь И здесь ), что позволило повысить права доступа в системе и получить контроль над устройством.
Кроме того, HNS может обнаруживать два новых типа устройств и получать к ним доступ путем подбора логинов и паролей (используя список паролей по умолчанию).
Механизм распространения HNS напоминает как «размножаются» сетевые черви.
Сначала бот генерирует список случайных IP-адресов для выбора жертв.
Затем он отправляет SYN-запрос каждому хосту и продолжает «общаться» с теми, кто ответил на запрос, через порты 23, 2323, 80 и 8080. Как только связь установлена, вредоносная программа ищет сообщение «buildroot login» и пытается войти в журнал.
при использовании предустановленных учетных данных.
В случае неудачи применяется HNS. поиск по словарю согласно жестко запрограммированному списку.
После подключения ботнет идентифицирует целевое устройство и выбирает подходящий метод компрометации.
Например, если бот находится в той же локальной сети, что и жертва, он настраивает TFTP-сервер, позволяя цели напрямую загружать образец вредоносного ПО.
Если жертва «находится» в Интернете, то ботнет пробует различные способы удаленной доставки «вредоносного пакета».
Все эксплойты предварительно настроены и хранятся в ячейке памяти с цифровой подписью для предотвращения несанкционированного доступа.
Список методов можно обновлять удаленно и распространять среди зараженных хостов.
Исследователи информационной безопасности выяснил что ботнет имеет в своем арсенале десять бинарников, скомпилированных для разных платформ: x86, x64, ARM (Little Endian и Big Endian), SuperH, PPC и других.
А чтобы надежно закрепиться в системе, после успешного заражения целевого устройства бот копирует себя в /etc/init.d/ и активирует функцию автозагрузки вместе с запуском ОС (взаимодействие с жертвой происходит через Telnet, поскольку для копирования двоичных файлов в каталог init.d -rights требуется root).
Затем HNS открывает случайный порт UDP, который понадобится киберпреступникам для связи с устройством.
/Фликр/ Паскаль /ПД
Другие крупные ботнеты
Одним из самых известных IoT-ботов можно назвать Мирай .Как и HNS, этот ботнет искал IoT-устройства с открытыми портами Telnet. Авторы Mirai, любители Minecraft и аниме (Mirai в переводе с японского означает «будущее», в честь манга «Дневник будущего»), в 2016 году осуществил несколько мощных DDoS-атак на сайты, серверы провайдеров (в г.
Сентябрь И Октябрь ) И зараженный около 300 тысяч IoT-устройств (здесь можно найти подробный анализ исходного кода Mirai).
Другой известный случай — Хадзиме (в переводе с японского — «начало»).
Этот ботнет захватил более 300 тысяч IoT-устройств с помощью брутфорс-атак.
Атаки Хадзиме в основном были нацелены на цифровые видеорегистраторы, веб-камеры и маршрутизаторы.
В соответствии с исследовать По данным «Лаборатории Касперского», ботнет в основном заражал устройства из Вьетнама (20%), Тайваня (13%) и Бразилии (9%).
При этом Хадзиме «сознательно» избегал частных сетей (в том числе сетей Министерства обороны США, Hewlett-Packard, General Electric и других).
Как защитить себя
К слова Представители Bitdefender, ботнет HNS все еще находится на «стадии роста».Ее операторы стараются захватить как можно больше устройств.
Поэтому нападений с его участием пока не было.
Но есть вероятность, что вскоре хакеры добавят в бинарные файлы «боевые команды».
Чтобы защитить IoT-устройства от HNS-атак и ботнетов в целом, специалисты по безопасности Trend Micro рекомендовать выполните следующие простые и довольно банальные шаги:
- Измените пароль IoT-устройства по умолчанию на более сложный (все как обычно: не менее 15 символов, другой регистр букв, плюс цифры и знаки);
- Регулярно устанавливайте обновления, особенно связанные с безопасностью;
- Использовать программные решения для защиты сети, шифрования трафика и т. д.
Подборка материалов из нашего корпоративного блога: 5 стадий кибератак Как классифицировать зашифрованный трафик Как безопасно делиться паролями в вашей сети Межсетевой экран или DPI – инструменты защиты для различных целей Выстрел в ногу: критические ошибки при построении сетей операторов связи Теги: #информационная безопасность #ботнет #Разработка для Интернета вещей #Интернет вещей #Анализ и проектирование систем #эксперты вас #эксперты вас #hns
-
Взламываем Дизайн Бумажного Интерфейса.
19 Oct, 24 -
Yahoo Переходит На Openid 2.0
19 Oct, 24 -
Gdc Europe И Gamescom – Что Полезнее?
19 Oct, 24
