Безобидных угроз не бывает
15 мая 2020
В подавляющем большинстве случаев вредоносное ПО создается для заработка, но иногда встречаются и некоммерческие трояны. Так, один из троянов для заражения сетевых устройств был предназначен для поиска аниме (или как минимум использовался в этих целях):
Запросы поступавшие с серверов управления ботнета были предназначены для входа на веб-сайты, поиска контента и, наконец, получения прямых ссылок - главным образом - на видеофайлы (AVI, MP4) или архивы (RAR), содержащие видео. Странно, что все, кажется, сосредоточены только на содержании японских анимационных фильмов - или, как они это называют: аниме.
То есть хозяин ботнета искал не сильно критические для пользователя данные, и вообще бот-сеть была, можно сказать, «некоммерческой». Но после заражения, естественно, хакер имел доступ и к другому контенту.
Зараженные устройства предназначались в основном для домашнего использования; однако иногда они были развернуты для правительственного использования и возможно содержали конфиденциальный контент. К которому у хакера был доступ, так как компоненты ботнета работают с правами суперпользователя, и поэтому они могут получить доступ к любому содержимому, хранящемуся на дисках.
Что было под хакерским прицелом? Сетевые хранилища D-Link NAS или сетевые видеорегистраторы NVR – место, где сложно встретить антивирус.
Электронное хранилище развивалось параллельно с эволюцией персональных компьютеров (ПК). Времена, когда единственным вариантом был внутренний жесткий диск емкостью, равной мегабайту, давно прошли. Жесткие диски уменьшались в размерах, увеличивались емкости, увеличивались внешние корпуса и возможности подключения. Одновременно возникла необходимость доступа к файлам с нескольких компьютеров одновременно. Ответом были решения для сетевого доступа (NAS).
Дальше по дороге появилось еще одно желание - получить доступ к файлам буквально из любой точки мира при наличии подключения к Интернету. Некоторые просто хотели отправить свои фотографии летних каникул прямо домой для безопасного хранения - в случае, если их мобильный телефон случайно попал в бассейн - другим пришлось получить доступ к жизненно важным документам в командировке. Устройства NAS больше не были ограничены локальной сетью, они успешно обосновались в Интернете.
Внедрение вредоносного кода проходило через уязвимость. Поиск уязвимых устройств производился, видимо, с помощью поисковиков – таких как Shodan или Censys. Сам код загружался сначала из Dropbox, а затем – с разных серверов управления ботнетом.
В чем опасность заражения именно сетевых устройств хранения? В их случае обновления прошивки вообще не касаются области хранения устройства. То есть даже если исходная уязвимость будет закрыта обновлением, вредоносный код сохранит свою функциональность.
Схема работы ботнета
Обратите внимание, что существует четыре различных способа доступа к узлам ботнета и управления ими: SSH, RSS, пользовательский бэкдор CGI и эксплуатируемая уязвимость.
Интересна схема распространения ботнета:
Первая волна попыток эксплуатации была зарегистрирована с немецкого IP-адреса, прежде чем он перешел к использованию сети TOR. Некоторые из серверов C2 также были установлены в Германии до выбора более пуленепробиваемого интернет-провайдера в Нидерландах. Адреса электронной почты, используемые для входа на форум, были зарегистрированы в T-Online, Германия. Наконец злоумышленник допустил небольшую ошибку при создании некоторых пакетов IPK, необходимых для работы клиента ботнета. Эти архивы - как и любой сжатый файл TAR - также содержат информацию о группах и пользователях, в нашем случае оба были установлены на «stefan», что неудивительно, популярное немецкое имя.
Один раз ботнет, видимо, был обнаружен:
В конце 2014 года была предпринята попытка массового удаления с канадского IP-адреса с использованием той же уязвимости, к сожалению, она длилась недолго. Поскольку уязвимость не была устранена после очистки, устройства быстро были повторно заражены версией v9 в течение месяца.
Но приговор ему вынес другой злоумышленник:
Вымогатель Cr1ptT0r использовал еще одну RCE на тех же устройствах и, если выполнялся, он шифровал весь контент на дисках – вместе с трояном описываемого ботнета.
#ботнет #Интернет #поддержка #признаки_заражения #слежка #уязвимость #хакер
Антивирусная правДА! рекомендует
Создание ботнета Cereals не потребовало тысяч строк низкоуровневого кода, специфичного для устройства, а было высоко мотивированным человеком с хорошим пониманием встроенных устройств, систем Linux и программирования сценариев. Стефан продемонстрировал, как просто использовать хорошо задокументированную уязвимость, ловко выбирая цель, которая идеально подходит для этой цели, и где вредоносный код может находиться незамеченным в течение длительного периода времени. И все для служения своим личным интересам.
Наряду с широко известными троянами вполне могут существовать и любительские проекты. Созданные в исследовательских целях (таковым был, например, ботнет на серверах Linux), из любопытства – например, для подглядывания. В силу своей нераспространенности они далеко не всегда могут попадать в сети антивирусных компаний.
Но.
- Они тормозят ваш компьютер.
- Злоумышленник в любой момент может продать ботнет.
- Злоумышленник в любой момент может захотеть заработать на нем, и любительский проект превратится в угрозу. И это не шутка.
Поэтому, если вы подозреваете что-то, обращайтесь в нашу техподдержку и помните: все, что устанавливается без вашего разрешения, подлежит удалению. И мы поможем в этом.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Filip_s
08:21:52 2020-12-03
Lightness
17:43:57 2020-05-18
Sasha50
06:40:41 2020-05-17
Karnegi
14:40:09 2020-05-16
Sergey
06:59:49 2020-05-16
Денисенко Павел Андреевич
01:42:07 2020-05-16
IIICoDIII
23:59:24 2020-05-15
Альфа
23:55:39 2020-05-15
Геральт
21:58:51 2020-05-15
L1t1um
21:50:43 2020-05-15
I23
21:49:53 2020-05-15
Zserg
21:43:24 2020-05-15
@kokuxo, Поздравляю с Днем рождения! Здоровья и счастья!
Dvakota
21:16:07 2020-05-15
anatol
20:52:12 2020-05-15
admin_29
20:26:15 2020-05-15
Шалтай Александр Болтай
19:44:56 2020-05-15
Шалтай Александр Болтай
19:34:51 2020-05-15
tigra
18:26:37 2020-05-15
ka_s
17:57:05 2020-05-15
@kokuxo, С Днем рождения! Удачи, успеха, надежной антивирусной защиты в сети и в жизни!
Slava90
17:01:24 2020-05-15
Toma
15:42:56 2020-05-15
Поздравляю всех с 1000-ым выпуском!
Lia00
15:28:40 2020-05-15
Toma
15:05:26 2020-05-15
I46
15:00:27 2020-05-15
Lenba
14:57:08 2020-05-15
@kokuxo, С днем рождения!:) Крепкого сибирского здоровья и удачи!
@Татьяна, Спасибо, Вас тоже с юбилейным выпуском!:))
Неуёмный Обыватель
14:54:17 2020-05-15
Спасибо всем причастным к проекту "Антивирусная правда!" за то, что он появился, состоялся и продолжает развиваться!
TV
14:20:15 2020-05-15
Любитель пляжного футбола
13:29:05 2020-05-15
Сотрудников "Доктор Веб", всех постоянных читателей, а также тех, кто присоединился к нам недавно, поздравляю с юбилейным 1000-м выпуском "Антивирусной правды"!
@kokuxo, с Днём рождения! Хороших выходных!
Денисенко Павел Андреевич
13:16:36 2020-05-15
@kokuxo, С днем рождения!:) Крепкого здоровья и удачи!:)
@Татьяна, Спасибо, Вас тоже с юбилейным выпуском!:)
Татьяна
12:56:27 2020-05-15
Dr.Web защищает от любых угроз, даже безобидных!
Татьяна
12:54:12 2020-05-15
vinnetou
12:33:10 2020-05-15
vinnetou
12:19:09 2020-05-15
DrKV
11:42:58 2020-05-15
DrKV
11:36:50 2020-05-15
Но, если что - знаем кто может нам помочь! :))
=====
Спасибо за подарок!!!
kokuxo
11:00:41 2020-05-15
Masha
10:59:40 2020-05-15
Masha
10:58:56 2020-05-15
gebrakk
10:50:22 2020-05-15
gebrakk
10:48:12 2020-05-15
vkor
10:41:48 2020-05-15
orw_mikle
10:31:12 2020-05-15
dyadya_Sasha
10:26:24 2020-05-15
@Людмила, СПАСИБО за подарки перед выходными!
Людмила
09:51:38 2020-05-15
https://news.drweb.ru/show/?i=13825&lng=ru
Пaвeл
09:38:40 2020-05-15
Пaвeл
09:36:56 2020-05-15
@admin, пролейте свет, какой сегодня по счету выпуск?
runikot
09:29:07 2020-05-15
KAA
09:24:07 2020-05-15
Dmur
09:21:42 2020-05-15
Alexander
09:17:28 2020-05-15
Как вариант, настроить Dr.Web Security Space на перемещение "неизвестного" (предположительного зловреда) в карантин, а не на удаление. В этом случае будет возможность изучить это самое "непонятное". И принять более взвешенное и разумное решение.
Но таракан, даже "безобидный", всегда неприятен в своём доме...