Авторы сделали ставку не на один тип устройств, а на целую россыпь лёгких целей. И не прогадали.
У домашних роутеров давно появилась роль, о которой владельцы часто не думают: уязвимое устройство на периметре сети может стать частью масштабной атаки. Специалисты Fortinet Для просмотра ссылки Войдиили Зарегистрируйся новый вариант ботнета Gafgyt под названием C0XMO, который заражает устройства с прошивкой DD-WRT через уязвимость Для просмотра ссылки Войди или Зарегистрируйся (оценка пока не присвоена). Ошибка связана с переполнением буфера и позволяет выполнить произвольный код без входа в систему.
C0XMO уже заметили при атаке на японскую технологическую компанию, хотя исходный IP-адрес указывал на устройство в Германии. Вредонос рассчитан не только на Для просмотра ссылки Войдиили Зарегистрируйся DD-WRT: найденные образцы поддерживают ARM, MIPS, PowerPC, SuperH, x86, x86_64 и другие архитектуры. В набор также входят средства для атак на видеорегистраторы, роутеры, платформы видеоуправления и устройства на базе Android.
Главная особенность C0XMO — модульная схема. Операторы могут отдельно менять способы заражения, добавлять или убирать целевые архитектуры и расширять возможности перемещения внутри сети, не переписывая основной вредоносный компонент.
После заражения Для просмотра ссылки Войдиили Зарегистрируйся загружает Python-скрипт для поиска новых целей. Скрипт ставит дополнительные пакеты, сканирует открытые в интернете устройства на популярных портах, включая SSH, Telnet, HTTP и HTTPS, затем пытается подобрать слабые учётные данные. Если доступ получен, вредонос определяет архитектуру процессора и загружает подходящий исполняемый файл C0XMO.
На захваченном устройстве C0XMO прячется во временных каталогах, создаёт задания cron для перезапуска каждые 15 минут и меняет стартовые shell-скрипты, чтобы запускаться автоматически. Затем вредонос ищет конкурирующие ботнеты, инструменты для тестирования безопасности и сетевые службы, которые могут мешать работе, после чего удаляет их файлы и механизмы автозапуска.
После закрепления C0XMO подключается к жёстко заданному управляющему серверу и ждёт команд. Ботнет поддерживает 19 методов Для просмотра ссылки Войдиили Зарегистрируйся, включая UDP-, TCP-, SYN- и ICMP-флуды, усиление через NTP и Memcached, а также атаки, нацеленные на отдельные сетевые сервисы.
Для снижения риска Fortinet рекомендует обновлять устройства, использовать уникальные пароли администратора и отключать удалённый доступ, когда удалённое управление не требуется.
Источник: securitylab.ru
У домашних роутеров давно появилась роль, о которой владельцы часто не думают: уязвимое устройство на периметре сети может стать частью масштабной атаки. Специалисты Fortinet Для просмотра ссылки Войди
C0XMO уже заметили при атаке на японскую технологическую компанию, хотя исходный IP-адрес указывал на устройство в Германии. Вредонос рассчитан не только на Для просмотра ссылки Войди
Главная особенность C0XMO — модульная схема. Операторы могут отдельно менять способы заражения, добавлять или убирать целевые архитектуры и расширять возможности перемещения внутри сети, не переписывая основной вредоносный компонент.
После заражения Для просмотра ссылки Войди
На захваченном устройстве C0XMO прячется во временных каталогах, создаёт задания cron для перезапуска каждые 15 минут и меняет стартовые shell-скрипты, чтобы запускаться автоматически. Затем вредонос ищет конкурирующие ботнеты, инструменты для тестирования безопасности и сетевые службы, которые могут мешать работе, после чего удаляет их файлы и механизмы автозапуска.
После закрепления C0XMO подключается к жёстко заданному управляющему серверу и ждёт команд. Ботнет поддерживает 19 методов Для просмотра ссылки Войди
Для снижения риска Fortinet рекомендует обновлять устройства, использовать уникальные пароли администратора и отключать удалённый доступ, когда удалённое управление не требуется.
Источник: securitylab.ru