Главная » Хабрахабр » Игра в прятки, или первый ботнет, которому не страшен reboot

Игра в прятки, или первый ботнет, которому не страшен reboot

В конце апреля ИБ-исследователи из Bitdefender LABS обнаружили новую версию ботнета Hide and Seek (HNS), о котором стало известно в начале 2018 года. Он использует кастомный P2P-протокол и является первым ботнетом, который «выживает» даже после перезагрузки устройства, на котором закрепился.

Расскажем, как HNS это делает и как защитить от него устройства интернета вещей.


/ Flickr / Chris Yiu / CC

Большая их часть являлась IP-камерами, произведенными корейской компанией Focus H&S, и их IP-адреса были прописаны в коде явным образом. Ботнет «играет в прятки» со специалистами по ИБ с 10 января: на тот момент сеть Hide and Seek состояла всего из 12 устройств.

После чего ботнет продолжил свое активное распространение и успел заразить порядка 90 тысяч уникальных девайсов. После ботнет «спрятался» и обнаружил себя только 20 января, но в его составе оказались уже 14 тысяч зараженных устройств. И вот, в апреле, появилась его новая версия.

Как работает ботнет

Новая версия ботнета содержит ряд улучшений в механизмах распространения. Например, он научился эксплуатировать еще две уязвимости IP-камер (подробнее здесь и тут), которые позволяли повысить права доступа в системе и получить контроль над устройством. Помимо этого, HNS может определять два новых типа девайсов и получать к ним доступ перебором логинов и паролей (используя список паролей, установленных по умолчанию).

Сперва бот генерирует список случайных IP-адресов, чтобы выбрать себе жертв. Механизм распространения HNS напоминает то, как «размножаются» сетевые черви. Как только связь установлена, вредонос ищет сообщение «buildroot login» и пытается авторизоваться с помощью предустановленных учетных данных. Затем он посылает SYN-запрос каждому хосту и продолжает «общение» с теми, которые ответили на запрос на портах 23 2323, 80 и 8080. В случае неудачи HNS применяет перебор по словарю по hardcoded-списку.

Например, если бот находится с жертвой в одной LAN-сети, он настраивает TFTP-сервер, позволяя цели скачать образец вредоносной программы напрямую. После подключения ботнет определяет целевое устройство и выбирает подходящий способ компрометации. Все эксплойты предварительно сконфигурированы и хранятся в ячейке памяти с цифровой подписью для предотвращения несанкционированного доступа. Если жертва «располагается» в интернете, то ботнет пробует различные методы удаленной доставки «вредоносной посылки». Список методов можно обновлять удаленно и распространять среди зараженных хостов.

ИБ-исследователи выяснили, что у ботнета в арсенале имеется десять бинарников, скомпилированных для разных платформ: x86, x64, ARM (Little Endian и Big Endian), SuperH, PPC и других.

Затем HNS открывает случайный UDP-порт, который понадобится киберпреступникам, чтобы связаться с устройством. А чтобы надежно закрепиться в системе, после успешного заражения целевого устройства бот копирует себя в /etc/init.d/ и активирует функцию автозагрузки вместе с запуском ОС (взаимодействие с жертвой происходит по Telnet, поскольку для копирования бинарников в директорию init.d требуются root-права).


/ Flickr / Pascal / PD

Другие крупные ботнеты

Одним из самых знаменитых IoT-ботов можно назвать Mirai. Также как и HNS, этот ботнет искал IoT-устройства с открытыми Telnet-портами. Авторы Mirai, любители Minecraft и аниме (Mirai в переводе с японского означает «будущее», в честь манги «Дневник будущего»), в 2016 году провели несколько мощных DDoS-атак на сайты, серверы провайдеров (в сентябре и октябре) и заразили около 300 тысяч IoT-девайсов (здесь можно найти подробный разбор исходников Mirai).

Этот ботнет захватил 300 тысяч IoT-устройств с помощью брутфорс-атак. Другой известный кейс — Hajime (в переводе с японского значит «начало»). Согласно исследованию «Лаборатории Касперского», ботнет в основном заражал устройства из Вьетнама (20%), Тайваня (13%) и Бразилии (9%). Атаки Hajime по большей части были нацелены на цифровые видеомагнитофоны, веб-камеры и роутеры. При этом Hajime «сознательно» избегал частные сети (в том числе сети Министерства обороны США, компаний Hewlett-Packard, General Electric и других).

Как защититься

По словам представителей Bitdefender, ботнет HNS пока находится на «стадии роста». Его операторы стараются захватить как можно большее количество устройств. Поэтому атаки с его участием пока не проводились. Но есть вероятность, что в скором времени хакеры добавят в бинарные файлы «боевые команды».

Чтобы защитить устройства интернета вещей от атак HNS и ботнетов в целом, специалисты по ИБ из Trend Micro рекомендуют выполнить следующие простые и довольно банальные шаги:

  • Изменить пароль IoT-устройства по умолчанию на более сложный (всё как обычно: минимум 15 символов, разный регистр букв, плюс цифры и знаки);
  • Регулярно устанавливать обновления, особенно те, что касаются безопасности;
  • Использовать программные решения для защиты сети, шифрования трафика и пр.

Эти простые методы позволят защититься от многих вредоносов, «вербующих» в свои ряды устройства интернета вещей.
Подборка материалов из нашего корпоративного блога:


Оставить комментарий

Ваш email нигде не будет показан
Обязательные для заполнения поля помечены *

*

x

Ещё Hi-Tech Интересное!

Oracle Certified Associate и Oracle Certified Professional. Общее впечатление и нюансы подготовки

Привет, Хабр! Сегодня я хочу рассказать вам о получении сертификатов Oracle Certified Associate и Oracle Certified Professional. Меня зовут Маша, я работаю в КРОК. Некоторые уверены, что для найма на приличную работу сертификат крайне желателен. Вообще, в спорах о полезности ...

«Противостояние» на PHDays 8 — взгляд со стороны SOC

В мае этого года прошла конференция Positive Hack Days 8, на которой мы вновь поучаствовали в роли SOC в уже традиционном Противостоянии (The Standoff). Атакующие — молодцы! В этом году организаторы учли прошлые ошибки и Противостояние началось в срок. Нападали ...