Wicked: новый наследник Mirai

 
 

Проведенный в Fortinet анализ показал, что новый зловред, названный ими Wicked, является модификацией IoT-бота Mirai и использует эксплойты для доставки целевой нагрузки на уязвимые устройства.
После слива исходного кода Mirai осенью 2016 года его производные стали расти, как грибы. Наиболее известен их них Satori, автор которого за полгода создал несколько вариантов, в том числе ориентированный на роутеры D-Link бот Masuta. Все эти итерации Mirai заимствуют в основном его код, ответственный за сканирование портов, а для проникновения на устройство зачастую используют не брутфорс, а эксплойт.

Показать связанные сообщения

Ботнет Satori атакует уязвимые фермы для майнинга
21 May 2018 , 18:30
Роутеры DrayTek атакованы через уязвимость нулевого дня
21 May 2018 , 17:54
Каждое десятое iOS-приложение содержит серьезную уязвимость
18 May 2018 , 19:21
Таким же преемником оказался и Wicked: в его сканер, по свидетельству экспертов, интегрированы как минимум три эксплойта для хорошо известных уязвимостей. Обнаружив открытый порт 8080, новоявленный зловред пытается применить эксплойты для роутеров Netgear DGN1000 и DGN2200 версии 1 (ими также оперирует IoTroop/Reaper). На порту 81 он атакует брешь удаленного исполнения кода в прошивке камер видеонаблюдения производства китайской компании TVT, на 8443 — баг инъекции команд в Netgear R7000 и R6400 (CVE-2016-6277). На порту 80 эксплойт осуществляется не напрямую, а с помощью вредоносного веб-шелла, ранее внедренного в скомпрометированный сервер.
Основной функцией Wicked, по свидетельству Fortinet, является загрузка другой итерации Mirai, созданной тем же автором. Как оказалось, вирусописатель использует ник Wicked — это слово встречается в коде даунлоудера и таким образом подсказало исследователям имя для находки. Экспериментируя с кодом Mirai, разработчик и его коллега по цеху создали проекты Sora, Owari и Omni.
Первые два бота атаковали уязвимые устройства, используя список дефолтных паролей. Затем авторы отказались от Sora, а в Owari добавили несколько эксплойтов, в том числе для RCE-уязвимости CVE-2017–17215 в роутерах Huawei HG532 (ее использует также вариант Satori, известный как Okiru).
В ходе тестирования эксперты обнаружили, что вместо Owari на уязвимые устройства из того же вредоносного домена закачивается более новая полезная нагрузка — Omni. Для его доставки используется эксплойт к уязвимости CVE-2018-10561 в роутерах GPON, которая после публикации была быстро взята на вооружение злоумышленниками.

Добавить комментарий