Information Security Club | Клуб Информационной Безопасности — Stay Safe!
Добро пожаловать в Клуб Информационной Безопасности! Если Вы здесь впервые, то зарегистрируйтесь и прочитайте правила клуба. Если Вы забыли пароль, то перейдите по ссылке, после чего Вы сможете восстановить его через электронную почту. Помните, что некоторые возможности и разделы форума для гостей недоступны, рекомендуется пройти авторизацию.

Welcome to Information Security Club! You can change the website language to English here. If you are here for the first time, please, register and read forum rules. If you forgot your password follow this link to restore it by email. Remember, some facilities and forum nodes for guests are not available, it's highly recommended to pass authorization.

Игра в прятки, или первый ботнет, которому не страшен reboot

5.00 звёзд 1 Оценка
В конце апреля ИБ-исследователи из Bitdefender LABS
Для просмотра скрытого текста Войдите или зарегистрируйтесь.
новую версию ботнета Hide and Seek (HNS), о котором стало
Для просмотра скрытого текста Войдите или зарегистрируйтесь.
в начале 2018 года. Он использует кастомный P2P-протокол и является первым ботнетом, который «выживает» даже после перезагрузки устройства, на котором закрепился.​

Расскажем, как HNS это делает и как защитить от него устройства интернета вещей.​


/ Flickr / Chris Yiu / CC

Ботнет «
Для просмотра скрытого текста Войдите или зарегистрируйтесь.
в прятки» со специалистами по ИБ с 10 января: на тот момент сеть Hide and Seek состояла всего из 12 устройств. Большая их часть являлась IP-камерами, произведенными корейской компанией Focus H&S, и их IP-адреса были прописаны в коде явным образом.​

После ботнет «спрятался» и обнаружил себя только 20 января, но в его составе оказались уже 14 тысяч зараженных устройств. После чего ботнет продолжил свое активное распространение и
Для просмотра скрытого текста Войдите или зарегистрируйтесь.
заразить порядка 90 тысяч уникальных девайсов. И вот, в апреле, появилась его новая версия.​

Как работает ботнет

Новая версия ботнета содержит ряд улучшений в механизмах распространения. Например, он научился эксплуатировать еще две уязвимости IP-камер (подробнее
Для просмотра скрытого текста Войдите или зарегистрируйтесь.
и
Для просмотра скрытого текста Войдите или зарегистрируйтесь.
), которые позволяли повысить права доступа в системе и получить контроль над устройством. Помимо этого, HNS может определять два новых типа девайсов и получать к ним доступ перебором логинов и паролей (используя список паролей, установленных по умолчанию).​

Механизм распространения HNS
Для просмотра скрытого текста Войдите или зарегистрируйтесь.
то, как «размножаются» сетевые черви. Сперва бот генерирует список случайных IP-адресов, чтобы выбрать себе жертв. Затем он посылает SYN-запрос каждому хосту и продолжает «общение» с теми, которые ответили на запрос на портах 23 2323, 80 и 8080. Как только связь установлена, вредонос ищет сообщение «buildroot login» и пытается авторизоваться с помощью предустановленных учетных данных. В случае неудачи HNS применяет
Для просмотра скрытого текста Войдите или зарегистрируйтесь.
по hardcoded-списку.​

После подключения ботнет определяет целевое устройство и выбирает подходящий способ компрометации. Например, если бот находится с жертвой в одной LAN-сети, он настраивает TFTP-сервер, позволяя цели скачать образец вредоносной программы напрямую. Если жертва «располагается» в интернете, то ботнет пробует различные методы удаленной доставки «вредоносной посылки». Все эксплойты предварительно сконфигурированы и хранятся в ячейке памяти с цифровой подписью для предотвращения несанкционированного доступа. Список методов можно обновлять удаленно и распространять среди зараженных хостов.​

ИБ-исследователи
Для просмотра скрытого текста Войдите или зарегистрируйтесь.
, что у ботнета в арсенале имеется десять бинарников, скомпилированных для разных платформ: x86, x64, ARM (Little Endian и Big Endian), SuperH, PPC и других.​

А чтобы надежно закрепиться в системе, после успешного заражения целевого устройства бот копирует себя в /etc/init.d/ и активирует функцию автозагрузки вместе с запуском ОС (взаимодействие с жертвой происходит по Telnet, поскольку для копирования бинарников в директорию init.d требуются root-права). Затем HNS открывает случайный UDP-порт, который понадобится киберпреступникам, чтобы связаться с устройством.​


/ Flickr / Pascal / PD

Другие крупные ботнеты

Одним из самых знаменитых IoT-ботов можно назвать
Для просмотра скрытого текста Войдите или зарегистрируйтесь.
. Также как и HNS, этот ботнет искал IoT-устройства с открытыми Telnet-портами. Авторы Mirai, любители Minecraft и аниме (Mirai в переводе с японского
Для просмотра скрытого текста Войдите или зарегистрируйтесь.
«будущее», в честь
Для просмотра скрытого текста Войдите или зарегистрируйтесь.
«Дневник будущего»), в 2016 году провели несколько мощных DDoS-атак на сайты, серверы провайдеров (в
Для просмотра скрытого текста Войдите или зарегистрируйтесь.
и
Для просмотра скрытого текста Войдите или зарегистрируйтесь.
) и
Для просмотра скрытого текста Войдите или зарегистрируйтесь.
около 300 тысяч IoT-девайсов (здесь можно найти подробный разбор исходников Mirai).​

Другой известный кейс — Hajime (в переводе с японского значит «начало»). Этот ботнет захватил 300 тысяч IoT-устройств с помощью брутфорс-атак. Атаки Hajime по большей части были нацелены на цифровые видеомагнитофоны, веб-камеры и роутеры. Согласно
Для просмотра скрытого текста Войдите или зарегистрируйтесь.
«Лаборатории Касперского», ботнет в основном заражал устройства из Вьетнама (20%), Тайваня (13%) и Бразилии (9%). При этом Hajime «сознательно» избегал частные сети (в том числе сети Министерства обороны США, компаний Hewlett-Packard, General Electric и других).​

Как защититься

По
Для просмотра скрытого текста Войдите или зарегистрируйтесь.
представителей Bitdefender, ботнет HNS пока находится на «стадии роста». Его операторы стараются захватить как можно большее количество устройств. Поэтому атаки с его участием пока не проводились. Но есть вероятность, что в скором времени хакеры добавят в бинарные файлы «боевые команды».​

Чтобы защитить устройства интернета вещей от атак HNS и ботнетов в целом, специалисты по ИБ из Trend Micro
Для просмотра скрытого текста Войдите или зарегистрируйтесь.
выполнить следующие простые и довольно банальные шаги:​
  • Изменить пароль IoT-устройства по умолчанию на более сложный (всё как обычно: минимум 15 символов, разный регистр букв, плюс цифры и знаки);​
  • Регулярно устанавливать обновления, особенно те, что касаются безопасности;​
  • Использовать
    Для просмотра скрытого текста Войдите или зарегистрируйтесь.
    для защиты сети, шифрования трафика и пр.​
Эти простые методы позволят защититься от многих вредоносов, «вербующих» в свои ряды устройства интернета вещей.​

Для просмотра скрытого текста Войдите или зарегистрируйтесь.
 
Последнее редактирование:

Сверху Снизу