Botnet Hide and Seek znowu w akcji
2018-05-23 10:49
Botnet Hide and Seek znowu w akcji © Bits and Splits - Fotolia.com
O istnieniu bota Hide and Seek badacze Bitdefendera wspominali już na początku tego roku. Dziś dochodzą nas wieści o pojawieniu się jego nowej odsłony. Jest to pierwszy na świecie botnet, który komunikuje się za pośrednictwem protokołu peer to peer i pierwszy, który uzyskał trwałość, a więc możliwość „przeżycia” ponownego uruchomienia.
Przeczytaj także: Uwaga! Już co 3. bot jest złośliwy
Statystyki dowodzą, że od chwili odkrycia do dziś botnetowi udało się z różnym skutkiem zainfekować niemal 90 000 unikalnych urządzeń.Przypomnijmy, botnet to rozproszona od względem geograficznym sieć zainfekowanych komputerów, a w przypadku Hide and Seek również urządzeń Internet of Things, które umożliwiają jego twórcy sprawowanie zdalnej kontroli nad wszystkimi zainfekowanymi sprzętami. Autor botneta ma możliwość wykorzystania zainfekowanych urządzeń w celu przeprowadzania ataków sieciowych, inwigilacji ofiar, rozsyłania spamu czy też wykradania poufnych danych.
„Istnieją dwa aspekty tych ataków, jeden to zdobycie dostępu do urządzenia, drugim z nich jest informacja, jakie miejsce dane urządzenie zajmuje w sieci. Użytkownicy takich jednostek bardzo często nie są świadomi, że padli ofiarą botneta, ponieważ jego aktywność jest trudna do wykrycia z wykorzystaniem zwykłych metod. Jeżeli sieć zainfekowanych urządzeń poszerzy się o serwer szansa zarażenia następnych jednostek gwałtownie wzrasta.”, komentuje Mariusz Politowicz, inżynier techniczny Bitdefender z firmy Marken.
Nowe zidentyfikowane próbki zawierają teraz kod służący wykorzystaniu dwóch nowych luk, aby umożliwić złośliwemu oprogramowaniu zagnieżdżenie w większej liczbie modeli kamer IPTV. Oprócz luk w zabezpieczeniach, bot może również zidentyfikować dwa nowe typy urządzeń i przekazać ich domyślną nazwę użytkownika i hasła.
fot. Bits and Splits - Fotolia.com
Botnet Hide and Seek znowu w akcji
Botnet, który zainfekował ponad 90 000 urządzeń rośnie w siłę.
Odkryta próbka dotyczy również kilku urządzeń generycznych. Zainfekowane ofiary skanują sąsiadów w poszukiwaniu usługi telnet. Natychmiast po znalezieniu usługi telnet zainfekowane urządzenie usiłuje zaimportować dostęp. Jeśli logowanie zakończy się sukcesem, złośliwe oprogramowanie ogranicza dostęp do portu 23, aby potencjalnie uniemożliwić konkurencyjnemu botowi przejęcie urządzenia.
Ten atak skierowany jest do szerokiej gamy urządzeń. Badania Bitdefendera pokazują, że bot ma 10 różnych plików binarnych skompilowanych dla różnych platform, w tym x86, x64, ARM (Little Endian i Big Endian), SuperH, PPC i tak dalej.
Po pomyślnym zainfekowaniu szkodliwe oprogramowanie kopiuje się w folderze /etc/init.d/ i dodaje się do systemu operacyjnego. Aby osiągnąć trwałość, infekcja musi odbywać się za pośrednictwem usługi Telnet, ponieważ uprawnienia administratora są wymagane do skopiowania pliku binarnego do katalogu init.d.
Następnie otwarty zostaje losowy port UDP, który jest propagowany do sąsiednich botów. Ten port będzie wykorzystywany przez cyberprzestępców do skontaktowania się z urządzeniem.
Obsługiwana lista poleceń nie zmieniła się znacząco od poprzedniej wersji bota. Wciąż nie ma wsparcia dla ataków DDoS (jednej z najczęściej spotykanych cech botów), co automatycznie nie pozwala na zarobek poprzez botnety. Jednak sam bot może nadal eksfiltrować pliki za pomocą metody Hide ‘N Seek.
Bazując na dostępnych dowodach, zakładamy, że botnet znajduje się w fazie wzrostu, ponieważ operatorzy starają się przechwycić jak najwięcej urządzeń, zanim dodadzą bardziej agresywne funkcje do pliku binarnego.
Przeczytaj także:
![Zaktualizuj router zanim zaatakuje go nowy botnet]( "Zaktualizuj router zanim zaatakuje go nowy botnet [© escapejaja - Fotolia.com]")
Zaktualizuj router zanim zaatakuje go nowy botnet
Zaktualizuj router zanim zaatakuje go nowy botnet
oprac. : eGospodarka.pl
Przeczytaj także
-
![Kaspersky: phishing żeruje na pandemii, na co uważać?]( "Kaspersky: phishing żeruje na pandemii, na co uważać?")
Kaspersky: phishing żeruje na pandemii, na co uważać?
-
![Cyberprzestępczość żeruje na pandemii. Jakie cyberataki są zagrożeniem?]( "Cyberprzestępczość żeruje na pandemii. Jakie cyberataki są zagrożeniem? [© pixabay.com]")
Cyberprzestępczość żeruje na pandemii. Jakie cyberataki są zagrożeniem?
-
![Poczta Polska ostrzega przed oszustami. Uważaj na maile z jej logo]( "Poczta Polska ostrzega przed oszustami. Uważaj na maile z jej logo [© weerapat1003 - Fotolia.com]")
Poczta Polska ostrzega przed oszustami. Uważaj na maile z jej logo
-
![Gry wideo: ilość ataków wzrosła o 50%, 130 tys. uderzeń w Minecraft]( "Gry wideo: ilość ataków wzrosła o 50%, 130 tys. uderzeń w Minecraft")
Gry wideo: ilość ataków wzrosła o 50%, 130 tys. uderzeń w Minecraft
-
![Trend Micro: zagrożenia internetowe I poł. 2019]( "Trend Micro: zagrożenia internetowe I poł. 2019 [© lolloj - Fotolia.com]")
Trend Micro: zagrożenia internetowe I poł. 2019
-
![Bezpieczeństwo IT: trendy 2019]( "Bezpieczeństwo IT: trendy 2019 [© ArtemSam - Fotolia.com]")
Bezpieczeństwo IT: trendy 2019
-
![Przez stare luki wprost do domowego IoT]( "Przez stare luki wprost do domowego IoT [© lukesw - Fotolia.com]")
Przez stare luki wprost do domowego IoT
-
![Trend Micro: zagrożenia internetowe 2019]( "Trend Micro: zagrożenia internetowe 2019 [© Maksim Šmeljov - Fotolia.com]")
Trend Micro: zagrożenia internetowe 2019
-
![Trend Micro: zagrożenia internetowe I poł. 2018]( "Trend Micro: zagrożenia internetowe I poł. 2018 [© jiris - Fotolia.com]")
Trend Micro: zagrożenia internetowe I poł. 2018
Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ
Komentarze (0)
![Majówka 2024 może być tańsza [© juli_zmachynskaya z Pixabay]](https://s3.egospodarka.pl/grafika2/majowka/Majowka-2024-moze-byc-tansza-259282-50x33crop.jpg "Majówka 2024 może być tańsza [© juli_zmachynskaya z Pixabay]")
Majówka 2024 może być tańsza
