ОБЗОР Новый вариант Mirai использует три эксплоита

Тема в разделе "Новости из СМИ", создана пользователем Apollon, 18 май 2018.

  1. TopicStarter Overlay
    Apollon

    Apollon Модератор . .

    На BDF с:
    07.09.17
    Сообщения:
    4.612
    Симпатии:
    632
    Баллы:
    543
    Пол:
    Мужской
    Репутация:
    1.200
    ГАРАНТ (покупки):
    1
    ДЕПОЗИТ:
    5113
    BDFCOIN:
    3.45
    [ Ссылки могут видеть только зарегистрированные пользователи. Зарегистрироваться или Войти ]  

    Два года назад некто под псевдонимом Anna Senpai опубликовал в открытом доступе исходный код печально известного вредоносного ПО Mirai для IoT-устройств ,и с тех пор регулярно появляются его новые варианты. Эксперты компании Fortinet сообщили о появлении его очередного усовершенствованного варианта, использующего как минимум три новых эксплоита.

    Новый вариант Mirai получил название WICKED по обнаруженным в ходе анализа строкам /bin/busybox WICKED и WICKED: applet not found. В отличие от оригинального Mirai, для взлома устройств WICKED не подбирает пароли, а использует доступные, уже давно известные эксплоиты.

    Бот сканирует порты 8080, 8443, 80 и 81 путем отправки SYN-запросов. В случае удачного подключения WICKED пытается взломать устройство с помощью имеющихся у него эксплоитов и загрузить полезную нагрузку.

    Выбор эксплоита зависит от порта, к которому подключился вредонос. При подключении к порту 8080 используется эксплоит для уязвимости в маршрутизаторах Netgear DGN1000 и DGN2200 v1. При наличии порта 81 бот эксплуатирует уязвимость в видеорегистраторах CCTV-DVR, позволяющую удаленно выполнить код. Для порта 8443 используется эксплоит для уязвимости CVE-2016-6277 в Netgear R7000 и R6400, позволяющей осуществить инъекцию команд. В случае подключения бота к порту 80 эксплуатируется не само устройство, а уже взломанный web-сервер, где заранее была установлена вредоносная web-оболочка.

    После успешной эксплуатации уязвимости WICKED загружает на скомпрометированное устройство полезную нагрузку с сайта hxxp://185.246.152.173/exploit/owari. Судя по названию сайта, изначально бот загружал вредоносное ПО Owari (еще один вариант Mirai), однако позднее злоумышленники заменили его на Omni.
     
    Последние данные очков репутации:
    WarTech: 25 Очки 18 май 2018
    WarTech нравится это.

Похожие темы

Загрузка...