Вы используете устаревший браузер!

Страница может отображаться некорректно.

Основы ботоведения

Основы ботоведения

Другие выпуски этой рубрики (5)
  • добавить в избранное
    Добавить в закладки

Безобидных угроз не бывает

Прочитали: 1285 Комментариев: 56 Рейтинг: 60

В подавляющем большинстве случаев вредоносное ПО создается для заработка, но иногда встречаются и некоммерческие трояны. Так, один из троянов для заражения сетевых устройств был предназначен для поиска аниме (или как минимум использовался в этих целях):

Запросы поступавшие с серверов управления ботнета были предназначены для входа на веб-сайты, поиска контента и, наконец, получения прямых ссылок - главным образом - на видеофайлы (AVI, MP4) или архивы (RAR), содержащие видео. Странно, что все, кажется, сосредоточены только на содержании японских анимационных фильмов - или, как они это называют: аниме.

#drweb

Источник

То есть хозяин ботнета искал не сильно критические для пользователя данные, и вообще бот-сеть была, можно сказать, «некоммерческой». Но после заражения, естественно, хакер имел доступ и к другому контенту.

Зараженные устройства предназначались в основном для домашнего использования; однако иногда они были развернуты для правительственного использования и возможно содержали конфиденциальный контент. К которому у хакера был доступ, так как компоненты ботнета работают с правами суперпользователя, и поэтому они могут получить доступ к любому содержимому, хранящемуся на дисках.

Источник

Что было под хакерским прицелом? Сетевые хранилища D-Link NAS или сетевые видеорегистраторы NVR – место, где сложно встретить антивирус.

Электронное хранилище развивалось параллельно с эволюцией персональных компьютеров (ПК). Времена, когда единственным вариантом был внутренний жесткий диск емкостью, равной мегабайту, давно прошли. Жесткие диски уменьшались в размерах, увеличивались емкости, увеличивались внешние корпуса и возможности подключения. Одновременно возникла необходимость доступа к файлам с нескольких компьютеров одновременно. Ответом были решения для сетевого доступа (NAS).

Дальше по дороге появилось еще одно желание - получить доступ к файлам буквально из любой точки мира при наличии подключения к Интернету. Некоторые просто хотели отправить свои фотографии летних каникул прямо домой для безопасного хранения - в случае, если их мобильный телефон случайно попал в бассейн - другим пришлось получить доступ к жизненно важным документам в командировке. Устройства NAS больше не были ограничены локальной сетью, они успешно обосновались в Интернете.

Источник

Внедрение вредоносного кода проходило через уязвимость. Поиск уязвимых устройств производился, видимо, с помощью поисковиков – таких как Shodan или Censys. Сам код загружался сначала из Dropbox, а затем – с разных серверов управления ботнетом.

В чем опасность заражения именно сетевых устройств хранения? В их случае обновления прошивки вообще не касаются области хранения устройства. То есть даже если исходная уязвимость будет закрыта обновлением, вредоносный код сохранит свою функциональность.

Схема работы ботнета

#drweb

Обратите внимание, что существует четыре различных способа доступа к узлам ботнета и управления ими: SSH, RSS, пользовательский бэкдор CGI и эксплуатируемая уязвимость.

Источник

Интересна схема распространения ботнета:

Первая волна попыток эксплуатации была зарегистрирована с немецкого IP-адреса, прежде чем он перешел к использованию сети TOR. Некоторые из серверов C2 также были установлены в Германии до выбора более пуленепробиваемого интернет-провайдера в Нидерландах. Адреса электронной почты, используемые для входа на форум, были зарегистрированы в T-Online, Германия. Наконец злоумышленник допустил небольшую ошибку при создании некоторых пакетов IPK, необходимых для работы клиента ботнета. Эти архивы - как и любой сжатый файл TAR - также содержат информацию о группах и пользователях, в нашем случае оба были установлены на «stefan», что неудивительно, популярное немецкое имя.

#drweb

Источник

Один раз ботнет, видимо, был обнаружен:

В конце 2014 года была предпринята попытка массового удаления с канадского IP-адреса с использованием той же уязвимости, к сожалению, она длилась недолго. Поскольку уязвимость не была устранена после очистки, устройства быстро были повторно заражены версией v9 в течение месяца.

Источник

Но приговор ему вынес другой злоумышленник:

Вымогатель Cr1ptT0r использовал еще одну RCE на тех же устройствах и, если выполнялся, он шифровал весь контент на дисках – вместе с трояном описываемого ботнета.

Источник

#ботнет #Интернет #поддержка #признаки_заражения #слежка #уязвимость #хакер

Dr.Web рекомендует

Создание ботнета Cereals не потребовало тысяч строк низкоуровневого кода, специфичного для устройства, а было высоко мотивированным человеком с хорошим пониманием встроенных устройств, систем Linux и программирования сценариев. Стефан продемонстрировал, как просто использовать хорошо задокументированную уязвимость, ловко выбирая цель, которая идеально подходит для этой цели, и где вредоносный код может находиться незамеченным в течение длительного периода времени. И все для служения своим личным интересам.

Источник

Наряду с широко известными троянами вполне могут существовать и любительские проекты. Созданные в исследовательских целях (таковым был, например, ботнет на серверах Linux), из любопытства – например, для подглядывания. В силу своей нераспространенности они далеко не всегда могут попадать в сети антивирусных компаний.

Но.

  1. Они тормозят ваш компьютер.
  2. Злоумышленник в любой момент может продать ботнет.
  3. Злоумышленник в любой момент может захотеть заработать на нем, и любительский проект превратится в угрозу. И это не шутка.

Поэтому, если вы подозреваете что-то, обращайтесь в нашу техподдержку и помните: все, что устанавливается без вашего разрешения, подлежит удалению. И мы поможем в этом.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: