 |
 |
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
24 апреля, среда, 00:00
|
|
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
Зловред сканирует порты IP-камер, пытаясь через эксплойт увеличить свою популяцию, которая уже перевалила за 24,5 тыс.
Исследователи из Qihoo 360 наблюдают рост количества сканов порта 8000; первый всплеск был зафиксирован 16 февраля. Инициаторами этой активности являются операторы ботнета на основе Fbot, которые пытаются внедрить обновленного зловреда в IP-камеры, использующиевидеорегистраторы производства HiSilicon.
О существовании Fbot интернет-сообщество впервые узнало в сентябре прошлого года. На тот момент конечная цель ботоводов была неясна: проникнув на смартфон или IoT-устройство, новоявленный бот лишь отыскивал и вычищал с него криптомайнер ADB.Miner. Анализ образцов Fbot показал сходство с вредоносной программой Satori, в том числе наличие таких же механизмов для проведения DDoS-атак (в данном случае эта функциональность была отключена).
Авторы находки тогда посчитали, что создатели нового бота либо борются с криптоджекингом, либо просто освобождают пространство для развития атаки. Похоже, второе предположение оказалось ближе к истине. Текущая киберкампания явно имеет целью наращивание потенциала ботнета за счет заражения IoT-устройств. Fbot был переориентирован на IP-камеры с начинкой конкретного производителя (HiSilicon — один из ведущих поставщиков мультимедийных устройств и компонентов на базе микропроцессоров ARM). Для доставки обновленного бота злоумышленники используют эксплойт к некой уязвимости в протоколе DVR-IP, также известном под именами NetSurveillance и Sofia.
На настоящий момент экспертам удалось выявить 24 528 IP-адресов с признаками заражения. Активные источники сканов разбросаны по всему миру, с наибольшей концентрацией на Тайване (2110), в Таиланде (1459), Бразилии (1276) и Турции (1137). В Индии, Иране и России популяция Fbot несколько меньше, но тоже значительна (942, 892 и 862 соответственно). США в этом рейтинге занимают 15-е место с показателем 328.
Цепочка заражения в данном случае включает несколько этапов. Вначале резидентный бот выполняет сканирование TCP-портов 80, 81, 88, 8000 и 8080. Обнаружив пригодную цель, он сообщает ее IP-адрес и номер порта генератору отчетов (Reporter) на C&C-сервере, поднятом в сетях голландского хостинг-провайдера. Обработанные данные передаются программе загрузки (Loader), которая подключается к веб-порту видеокамеры и пытается выполнить вход, используя идентификаторы, заданные по умолчанию.
Получив отклик, Loader штурмует порт DVR-IP (TCP 34567) с помощью другой дефолтной пары логин – пароль. В случае успеха в ход идет эксплойт и открывается telnet-бэкдор, через который на устройство проникает загрузчик Fbot. Его единственная задача — скачать по HTTP зловреда все с того же C&C-сервера и запустить его на исполнение.
Целевая нагрузка, как показал анализ, закодирована с использованием двух разных шифров (один из них — XOR с однобайтовым ключом). Имя домена, по которому Fbot отыскивает центр управления, жестко прописано в коде. Бот способен проводить DDoS-атаки, используя техники TCP flood, ACK flood (двух видов) и HTTP flood (GET и POST).
18 февраля исследователи обнаружили, что ботоводы закрыли порт службы Reporter, и Loader теперь не в состоянии отдавать полезную нагрузку атакуемым смарт-устройствам.
 |
нравится | не нравится |  |
Рейтинг: | 0 |
Всего голосов: 0 |
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
| Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |
