Киберпреступники используют бот Linux/Remaiten для компрометации маршрутизаторов

Исследователи компании ESET активно отслеживают деятельность вредоносных программ, используемых злоумышленниками для компрометации встраиваемых устройств, в частности, маршрутизаторов, сетевых шлюзов и беспроводных точек доступа. Некоторое время назад эксперты обнаружили IRC-бот, сочетающий функции уже известного вредоносного ПО для Linux – Tsunami (Kaiten) и Gafgyt. Новая программа получила название Linux/Remaiten. От вышеуказанного ПО вредонос отличается наличием ряда улучшений и новых функций.

По данным аналитиков ESET, существует три версии Linux/Remaiten – 2.0, 2.1 и 2.2. Сами вирусописатели называют данное вредоносное ПО KTN-Remastered или KTN-RM.

Одной из ключевых особенностей функционала Gafgyt является сканирование различных IP-адресов на предмет подключения к порту с номером 23 (Telnet). В случае обнаружения жертвы, Gafgyt загружает исполняемые файлы для различных архитектур микропроцессоров. Разработчики Linux/Remaiten улучшили используемый Gafgyt метод. Вместо загрузки исполняемых файлов всех поддерживаемых архитектур в память устройства загружается только один соответствующий загрузчик.

Бот Linux/Remaiten функционирует в системе по умолчанию как сервис или демон. При запуске бота с ключом «–d» он работает в качестве обычного приложения. После запуска бота в данном режиме название его процесса будет изменено на название какого-либо стандартного легитимного процесса (например, «-bash» или «-sh»). Используя функцию create_daemon, бот создает файл .kpid в одной из предустановленных директорий демона и записывает в него идентификатор (PID) своего процесса.

Далее Linux/Remaiten случайным образом выбирает адрес C&C-сервера из списка внедренных IP-адресов и подключается к определенному порту. После успешного подключения бот регистрируется на IRC-сервере и получает от него приветственное сообщение и дальнейшие указания.

Бот может выполнять различные IRC-команды C&C-сервера, в частности, команду PRIVMSG. Она используется сервером для инструктирования бота на выполнение ряда действий (загрузку файлов, сканирование IP-адресов с целью подключения по Telnet и пр.). Бот отправляет на C&C-сервер данные об IP-адресе устройства, логин/пароль и сообщает, было ли оно заражено. Как полагают исследователи ESET, операторы бота могут вручную инфицировать целевое устройство, если не получится сделать это автоматически.

Источник: securitylab.ru

Реклама
Запись опубликована в рубрике Report. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s