Новый ботнет выслеживает и превращает зараженные маршрутизаторы, видеорегистраторы и сетевые устройства UPnP в приманки, которые помогают ему находить другие цели для заражения.
Вредоносная программа, названная ZHtrap обнаружившими ее исследователями безопасности 360 Netlab, основана на исходном коде Mirai и поддерживает архитектуры x86, ARM, MIPS и других процессоров.
Захватывает зараженные устройства
Как только он захватывает устройство, он предотвращает повторное заражение его ботов другими вредоносными программами с помощью белого списка, который разрешает только уже запущенные системные процессы, блокируя все попытки запуска новых команд.Боты ZHtrap используют командно-административный сервер (C2) Tor для связи с другими узлами ботнета и прокси-сервер Tor для сокрытия вредоносного трафика.
Основные возможности ботнета включают DDoS-атаки и поиск более уязвимых устройств для заражения. Однако он также имеет функцию бэкдора, позволяющую операторам загружать и выполнять дополнительные вредоносные полезные данные.
Для распространения ZHtrap использует эксплойты, нацеленные на четыре N-дневные уязвимости безопасности в конечных точках Realtek SDK Miniigd UPnP SOAP, MVPower DVR, Netgear DGN1000 и длинном списке устройств CCTV-DVR.
Он также сканирует устройства со слабыми паролями Telnet из списка случайно сгенерированных IP-адресов и собирает их с помощью приманки, которую он развертывает на устройствах, уже подключенных к ботнету.
Изображение: 360 Netlab
Боты, используемые как приманки
Наиболее интересной особенностью ZHtrap является то, как он превращает зараженные устройства в приманки для сбора IP-адресов большего количества целей, которые могут быть уязвимы для его методов распространения или уже заражены другим вредоносным ПО.После развертывания приманка ZHtrap начинает прослушивать список из 23 портов и отправляет все подключенные к ним IP-адреса в свой модуль сканирования в качестве потенциальных целей для своих атак.
«По сравнению с другими ботнетами, которые мы анализировали ранее, наиболее интересной частью ZHtrap является его способность превращать зараженные устройства в приманку», - сказал 360 Netlab .
«Ханипоты обычно используются исследователями безопасности в качестве инструмента для перехвата атак, таких как сбор сканированных изображений, эксплойтов и образцов.
«Но на этот раз мы обнаружили, что ZHtrap использует похожую технику, интегрируя модуль сканирования IP-адресов, и собранные IP-адреса используются в качестве целей в его собственном модуле сканирования».
Исследователи 360 Netlab также недавно заметили обновленную версию ботнета z0Miner для майнинга криптовалют , который теперь пытается заразить уязвимые серверы Jenkins и ElasticSearch для майнинга криптовалюты Monero (XMR).
Перевод - Google
Bleeping Computer
