Игра в прятки, или первый ботнет, которому не страшен reboot

В конце апреля ИБ-исследователи из Bitdefender LABS обнаружили ^[1] новую версию ботнета Hide and Seek (HNS), о котором стало известно ^[2] в начале 2018 года. Он использует кастомный P2P-протокол и является первым ботнетом, который «выживает» даже после перезагрузки устройства, на котором закрепился.

Расскажем, как HNS это делает и как защитить от него устройства интернета вещей.

^[3]
/ Flickr / Chris Yiu ^[4] / CC ^[5]

Ботнет «играет ^[2] в прятки» со специалистами по ИБ с 10 января: на тот момент сеть Hide and Seek состояла всего из 12 устройств. Большая их часть являлась IP-камерами, произведенными корейской компанией Focus H&S, и их IP-адреса были прописаны в коде явным образом.

После ботнет «спрятался» и обнаружил себя только 20 января, но в его составе оказались уже 14 тысяч зараженных устройств. После чего ботнет продолжил свое активное распространение и успел ^[1] заразить порядка 90 тысяч уникальных девайсов. И вот, в апреле, появилась его новая версия.

Как работает ботнет

Новая версия ботнета содержит ряд улучшений в механизмах распространения. Например, он научился эксплуатировать еще две уязвимости IP-камер (подробнее здесь ^[6] и тут ^[7]), которые позволяли повысить права доступа в системе и получить контроль над устройством. Помимо этого, HNS может определять два новых типа девайсов и получать к ним доступ перебором логинов и паролей (используя список паролей, установленных по умолчанию).

Механизм распространения HNS напоминает ^[2] то, как «размножаются» сетевые черви. Сперва бот генерирует список случайных IP-адресов, чтобы выбрать себе жертв. Затем он посылает SYN-запрос каждому хосту и продолжает «общение» с теми, которые ответили на запрос на портах 23 2323, 80 и 8080. Как только связь установлена, вредонос ищет сообщение «buildroot login» и пытается авторизоваться с помощью предустановленных учетных данных. В случае неудачи HNS применяет перебор по словарю ^[8] по hardcoded-списку.

После подключения ботнет определяет целевое устройство и выбирает подходящий способ компрометации. Например, если бот находится с жертвой в одной LAN-сети, он настраивает TFTP-сервер, позволяя цели скачать образец вредоносной программы напрямую. Если жертва «располагается» в интернете, то ботнет пробует различные методы удаленной доставки «вредоносной посылки». Все эксплойты предварительно сконфигурированы и хранятся в ячейке памяти с цифровой подписью для предотвращения несанкционированного доступа. Список методов можно обновлять удаленно и распространять среди зараженных хостов.

ИБ-исследователи выяснили ^[1], что у ботнета в арсенале имеется десять бинарников, скомпилированных для разных платформ: x86, x64, ARM (Little Endian и Big Endian), SuperH, PPC и других.

А чтобы надежно закрепиться в системе, после успешного заражения целевого устройства бот копирует себя в /etc/init.d/ и активирует функцию автозагрузки вместе с запуском ОС (взаимодействие с жертвой происходит по Telnet, поскольку для копирования бинарников в директорию init.d требуются root-права). Затем HNS открывает случайный UDP-порт, который понадобится киберпреступникам, чтобы связаться с устройством.

/ Flickr / Pascal ^[9] / PD

Другие крупные ботнеты

Одним из самых знаменитых IoT-ботов можно назвать Mirai ^[10]. Также как и HNS, этот ботнет искал IoT-устройства с открытыми Telnet-портами. Авторы Mirai, любители Minecraft и аниме (Mirai в переводе с японского означает ^[11] «будущее», в честь манги ^[12] «Дневник будущего»), в 2016 году провели несколько мощных DDoS-атак на сайты, серверы провайдеров (в сентябре ^[13] и октябре ^[14]) и заразили ^[15] около 300 тысяч IoT-девайсов (здесь можно найти подробный разбор исходников Mirai).

Другой известный кейс — Hajime (в переводе с японского значит «начало»). Этот ботнет захватил 300 тысяч IoT-устройств с помощью брутфорс-атак. Атаки Hajime по большей части были нацелены на цифровые видеомагнитофоны, веб-камеры и роутеры. Согласно исследованию ^[16] «Лаборатории Касперского», ботнет в основном заражал устройства из Вьетнама (20%), Тайваня (13%) и Бразилии (9%). При этом Hajime «сознательно» избегал частные сети (в том числе сети Министерства обороны США, компаний Hewlett-Packard, General Electric и других).

Как защититься

По словам ^[17] представителей Bitdefender, ботнет HNS пока находится на «стадии роста». Его операторы стараются захватить как можно большее количество устройств. Поэтому атаки с его участием пока не проводились. Но есть вероятность, что в скором времени хакеры добавят в бинарные файлы «боевые команды».

Чтобы защитить устройства интернета вещей от атак HNS и ботнетов в целом, специалисты по ИБ из Trend Micro рекомендуют ^[18] выполнить следующие простые и довольно банальные шаги:

• Изменить пароль IoT-устройства по умолчанию на более сложный (всё как обычно: минимум 15 символов, разный регистр букв, плюс цифры и знаки);
• Регулярно устанавливать обновления, особенно те, что касаются безопасности;
• Использовать программные решения ^[19] для защиты сети, шифрования трафика и пр.

Эти простые методы позволят защититься от многих вредоносов, «вербующих» в свои ряды устройства интернета вещей.

Автор: VAS Experts

Источник ^[25]