Запознайте се с dark_nexus, най-мощният ботнет за Интернет на нещата, съществувал някога

Запознайте се с dark_nexus, най-мощният ботнет за Интернет на нещата, съществувал някога
ботнет; dark_nexus; Интернет на нещата

Новооткритият ботнет може да идва към свързано с мрежа устройство близо до вас

Новооткритият ботнет, който „пленява“ домашни рутери, видеорекордери и други свързани с мрежата устройства, е една от най-модерните платформи за Интернет на нещата, виждани някога, казаха изследователи миналата седмица. Списъкът с разширени функции включва възможността да се прикрива злонамерен трафик, да се самоподдържа и да заразява устройства, които работят с поне 12 различни видове процесори.

Изследователи от антивирусен доставчик, описаха така наречения dark_nexus като „нов IoT ботнет, опаковащ нови функции и възможности, които превъзхождат значително повечето IoT ботнети и зловреден софтуер, които сме виждали“. През трите месеца, в които компанията за киберсигурност го проследява, dark_nexus претърпя 30 актуализации на версиите, тъй като неговият разработчик непрекъснато добавя още функции и възможности.

Значително по-мощен

Зловредният софтуер е заразил най-малко 1372 устройства, които включват видеорекордери, термокамери и домашни рутери, които повечето малки офиси използват, направени от Dasan, Zhone, Dlink и ASUS. Изследователите очакват да бъдат засегнати повече модели устройства, тъй като развитието на dark_nexus продължава.

Позовавайки се на други IoT ботнети, изследователите написаха в доклад: „Анализът ни установи, че въпреки че dark_nexus използва повторно някои Qbot и Mirai кодове, основните му модули нямат аналог. Въпреки че може да споделя някои функции с известни досега IoT ботнети, начинът, по който някои от неговите модули са разработени, го прави значително по-мощен и опасен. “

Ботнетът се разпространява както чрез отгатване на общи администраторски пароли, така и чрез използване на уязвимости в сигурността. Друга характеристика, която увеличава броя на заразените устройства, е способността да се насочва към системи, които работят на широк спектър от процесори.

В доклада се казва още, че макар модулите за разпространение на dark_nexus да съдържат атаки насочени към ARC и Motorola RCE архитектури, изследователите засега не са успели да намерят образци на зловреден софтуер, компилирани за тези архитектури.

Основната цел на dark_nexus е да извършва масирани атаки за отказ от услуга(DDos), които принуждават уебсайтове и други онлайн услуги да минат офлайн, като ги заливат с повече трафик, отколкото те могат да се справят. За да направи тези посегателства по-ефективни, злонамереният софтуер има механизъм, който показва, че злонамереният трафик изглежда като нормални данни, изпращани от уеб браузъри.

Друга разширена функция в dark_nexus дава „превъзходство“ на зловредния софтуер над всички други злонамерени програми, които могат да бъдат инсталирани на компрометирани устройства. Механизмът за надмощие използва система за оценка, за да оцени надеждността на различни процеси, работещи на дадено устройство. Процесите, за които се знае, че са „добри“, автоматично се включват в бели списъци.

Непризнатите процеси получават оценки за определени видове черти. Например процес, който е бил изтрит по време на изпълнение – поведение, което е често срещано със злонамерен код – получава оценка 90. Изпълними файлове в директории като „/ tmp /,“ „/ var /,“ или „/ dev /“ – друг знак за предаване на злонамерен софтуер – получавате оценка 90. Други черти получават от 10 до 90 точки. Всеки процес, който получава 100 или повече точки, автоматично се спира.

Dark_nexus също може да спре процесите на рестартиране, функция, която поддържа злонамерения софтуер за по-дълго време на устройството, тъй като повечето зловредни програми за интернет на нещата  не могат да оцелеят при рестартиране. За да направят инфекциите по-скрити, разработчиците използват вече компрометирани устройства, за да доставят злонамерени полезни товари.

Кой е greek helios?

Ранните версии на dark_nexus съдържат низа „@ greek.helios“. Този низ се появи и в 2018-та версия на „hoho“, вариант на зловреден софтуер Marai. Както hoho, така и dark_nexus съдържат код Mirai и Qbot. Изследователите скоро откриха, че „greek helios“ е името, използвано от онлайн персона, която продава зловреден софтуер и DDoS. В Youtube канал, хостван от потребител на име greek helios, съдържа няколко видеоклипа, популяризиращи зловредния софтуер и предлаганите услуги.

Един видеоклип, според доклада в сряда, показва компютърен работен плот с пряк път до IP адрес, който още през миналия декември се появи като сървър за команда и контрол dark_nexus. Тези и няколко други улики накараха изследователите да подозират, че този индивид стои зад dark_nexus.

Както показва картата по-горе, инфекциите с dark_nexus са най-често срещани в Китай, като 653 мрежи са класифицирани като компрометирани. Следващите четири най-засегнати страни са Република Корея с 261, Тайланд със 172, Бразилия със 151 и Русия с 148. В САЩ са открити 68 инфекции.

С възможността да заразява широк спектър от устройства и мотивиран разработчик с амбициозен график за актуализиране, не би било изненадващо да видим този ботнет да става по-популярен и опасен  през следващите месеци.

Източник: Panda Media Center

За Panda Security

Превърнала се в един от водещите световни разработчици на решения за ИТ сигурност, Panda Security има представителства в 80 страни и милиони потребители в повече от 195 държави. Предлага продукти, адаптирани на 23 езика. Обновявайки решенията си компанията постоянно внедрява нови модели и технологии и повишава ефективността си в борбата с интернет заплахите. Благодарение на модула за сигурност Tru Prevent и технологията Collective Intelligence всяко решение предпазва максимално ценната ИТ информация, както от познати заплахи, така и от все още некласифицирани опасности. Panda Security се старае да улесни своите клиенти в съответствие с фирмения си девиз: „Една стъпка преди” всеки нов зловреден код (вирус, шпионски код, спам и др.).

Panda Security си сътрудничи със Special Olympics, WWF и Invest for Children, което е част от корпоративната политика на фирмата за социално отговорно поведение.

За допълнителна информация:

Компютел ООД – Официален представител на Panda Security за България
София: 02/ 813 28 11
Пловдив: 032/ 62 16 08

Сподели в:

Категории:

Следвай ни в: