В конце апреля ИБ-исследователи из Bitdefender LABS обнаружили новую версию ботнета Hide and Seek (HNS), о котором стало известно в начале 2018 года. Он использует кастомный P2P-протокол и является первым ботнетом, который «выживает» даже после перезагрузки устройства, на котором закрепился.
Расскажем, как HNS это делает и как защитить от него устройства интернета вещей.
Ботнет «играет в прятки» со специалистами по ИБ с 10 января: на тот момент сеть Hide and Seek состояла всего из 12 устройств. Большая их часть являлась IP-камерами, произведенными корейской компанией Focus H&S, и их IP-адреса были прописаны в коде явным образом.
После ботнет «спрятался» и обнаружил себя только 20 января, но в его составе оказались уже 14 тысяч зараженных устройств. После чего ботнет продолжил свое активное распространение и успел заразить порядка 90 тысяч уникальных девайсов. И вот, в апреле, появилась его новая версия.
Как работает ботнет
Новая версия ботнета содержит ряд улучшений в механизмах распространения. Например, он научился эксплуатировать еще две уязвимости IP-камер (подробнее здесь и тут), которые позволяли повысить права доступа в системе и получить контроль над устройством. Помимо этого, HNS может определять два новых типа девайсов и получать к ним доступ перебором логинов и паролей (используя список паролей, установленных по умолчанию).
Механизм распространения HNS напоминает то, как «размножаются» сетевые черви. Сперва бот генерирует список случайных IP-адресов, чтобы выбрать себе жертв. Затем он посылает SYN-запрос каждому хосту и продолжает «общение» с теми, которые ответили на запрос на портах 23 2323, 80 и 8080. Как только связь установлена, вредонос ищет сообщение «buildroot login» и пытается авторизоваться с помощью предустановленных учетных данных. В случае неудачи HNS применяет перебор по словарю по hardcoded-списку.
После подключения ботнет определяет целевое устройство и выбирает подходящий способ компрометации. Например, если бот находится с жертвой в одной LAN-сети, он настраивает TFTP-сервер, позволяя цели скачать образец вредоносной программы напрямую. Если жертва «располагается» в интернете, то ботнет пробует различные методы удаленной доставки «вредоносной посылки». Все эксплойты предварительно сконфигурированы и хранятся в ячейке памяти с цифровой подписью для предотвращения несанкционированного доступа. Список методов можно обновлять удаленно и распространять среди зараженных хостов.
ИБ-исследователи выяснили, что у ботнета в арсенале имеется десять бинарников, скомпилированных для разных платформ: x86, x64, ARM (Little Endian и Big Endian), SuperH, PPC и других.
А чтобы надежно закрепиться в системе, после успешного заражения целевого устройства бот копирует себя в /etc/init.d/ и активирует функцию автозагрузки вместе с запуском ОС (взаимодействие с жертвой происходит по Telnet, поскольку для копирования бинарников в директорию init.d требуются root-права). Затем HNS открывает случайный UDP-порт, который понадобится киберпреступникам, чтобы связаться с устройством.
/ Flickr / Pascal / PD
Другие крупные ботнеты
Одним из самых знаменитых IoT-ботов можно назвать Mirai. Также как и HNS, этот ботнет искал IoT-устройства с открытыми Telnet-портами. Авторы Mirai, любители Minecraft и аниме (Mirai в переводе с японского означает «будущее», в честь манги «Дневник будущего»), в 2016 году провели несколько мощных DDoS-атак на сайты, серверы провайдеров (в сентябре и октябре) и заразили около 300 тысяч IoT-девайсов (здесь можно найти подробный разбор исходников Mirai).
Другой известный кейс — Hajime (в переводе с японского значит «начало»). Этот ботнет захватил 300 тысяч IoT-устройств с помощью брутфорс-атак. Атаки Hajime по большей части были нацелены на цифровые видеомагнитофоны, веб-камеры и роутеры. Согласно исследованию «Лаборатории Касперского», ботнет в основном заражал устройства из Вьетнама (20%), Тайваня (13%) и Бразилии (9%). При этом Hajime «сознательно» избегал частные сети (в том числе сети Министерства обороны США, компаний Hewlett-Packard, General Electric и других).
Как защититься
По словам представителей Bitdefender, ботнет HNS пока находится на «стадии роста». Его операторы стараются захватить как можно большее количество устройств. Поэтому атаки с его участием пока не проводились. Но есть вероятность, что в скором времени хакеры добавят в бинарные файлы «боевые команды».
Чтобы защитить устройства интернета вещей от атак HNS и ботнетов в целом, специалисты по ИБ из Trend Micro рекомендуют выполнить следующие простые и довольно банальные шаги:
- Изменить пароль IoT-устройства по умолчанию на более сложный (всё как обычно: минимум 15 символов, разный регистр букв, плюс цифры и знаки);
- Регулярно устанавливать обновления, особенно те, что касаются безопасности;
- Использовать программные решения для защиты сети, шифрования трафика и пр.
Эти простые методы позволят защититься от многих вредоносов, «вербующих» в свои ряды устройства интернета вещей.
Подборка материалов из нашего корпоративного блога:
- 5 этапов проведения кибератак
- Как классифицировать зашифрованный трафик
- Как безопасно обмениваться паролями в вашей сети
- Firewall или DPI – инструменты защиты разного назначения
- Выстрел в ногу: критические ошибки в строительстве сетей операторов связи
Автор: VAS Experts
