Варіанти Наґасу ботнет тримати зараження компанію пристроїв

Computer Security News

Спочатку 665 Гбіт/с DDoS атака Наґасу ботнет був проти KrebsOnSecurity сайту у вересні 2016. Кілька днів по тому, другий атаки, яка досягла свого піку в майже 1 Tbps, вдарив французький хостинг фірма OVH. Незважаючи на те, що розробник Наґасу випустила вихідний код незабаром після атаки ботнетів, вона не зберіг безкоштовно надовго.

У січні 2017 Brian Krebs позначаються пункти меня як авторської розробки Наґасу і в грудня 2017 року за МЮ роздруковані plea-bargained провини Джха пункти для розробки та використання Наґасу. Тим не менш, було вже занадто пізно, щоб зупинити на ботнет, оскільки її код вже виявлена та інших злочинців могли б розробити нові варіанти Наґасу.

Безпеки дослідники Netscout Арбор спостерігали наступні варіанти Наґасу до цих пір: Satori, JenX, OMG та Wicked.

Наґасу ботнет розповсюджується шляхом сканування для інших підключених до Інтернету компанію пристроїв (IP-камер і будинку маршрутизаторів) і ‘грубої змусити’ доступ через список постачальників паролі за замовчуванням. Як споживачі, зазвичай, не змінюйте пароль, який постачається із пристроєм, процес є надзвичайно успішним.

Satori використовує ту ж таблицю конфігурації і ту ж техніку заплутування рядок Наґасу. Однак, на ASERT команд претензій, що “Ми бачимо, автор, розширюючи на Наґасу вихідний код включає різні подвиги таких як Huawei домашній шлюз експлуатувати”. Експлуатувати була CVE-2017-17215.

Вихідний код для JenX також поставляється з Наґасу, у тому числі за одним столом конфігурації і ту ж техніку заплутування рядок. Різниця тут у тому, що жорсткі коди JenX C2 IP адресу у той час як Наґасу зберігає його в конфігурації таблиці. Крім того, JenX зняв сканування та експлуатації функції Наґасу, обробляється окремий системи.

За словами ASERT, «з’являється JenX тільки фокусується на DDoS атак проти гравців відео гри Grand Theft авто Сан-Андреас, який відзначають й іншими дослідниками.»

OMG відома як одна з найбільш цікавих варіантів Наґасу. Хоча вона включає в себе всі Наґасу функціональність, “Автор розширений Наґасу код, щоб включити проксі-сервер”. Це дає змогу ввімкнути на ШКАРПЕТКИ і HTTP проксі-сервера на заражених компанію пристрої.

Wicked-останній Наґасу варіант, який дуже схожий на варіант Satori 3.

“Wicked торгує в Наґасу в облікових даних сканування функції для власного RCE сканера. Wicked RCE сканер цілі Netgear маршрутизатори та пристрої Відеоспостереження DVR. “ Коли виявлено уразливі пристроїв, “копію Оварі бот скачав і страчений.” ASERT команда пояснює.

Однак, подальший аналіз показав, що на практиці Wicked намагався завантажити Оварі ботнету, але насправді завантажується Omni ботнету.

“Ми можемо по суті підтвердити, що автор ботнети Wicked, Сора, Оварі і Omni є одним і тим же. Це також веде нас до висновку, що хоча WICKED бот спочатку був призначений для доставки Сора ботнету, він був пізніше перепризначеним служити автора наступні проекти,” Fortinet експерти стверджують, що, хоча варіанти Наґасу продовжують рости.


Leave a Reply

Your email address will not be published. Required fields are marked *