25 Марта 2020 08:18 25 Мар 2020 08:18 |

Поделиться

Знаменитый ботнет напал на накопители Zyxel

Месяца не прошло

Новая разновидность ботнета Mirai атакует сетевые накопители Zyxel, используя критическую уязвимость, выявленную всего месяц назад.

Речь идёт о «баге» CVE-2020-9054, допускающем инъекцию команд до авторизации, а следовательно - и запуск произвольного кода удалённо. Злоумышленникам достаточно заманить пользователя уязвимого устройства на нужный сайт, чтобы успешно произвести эксплуатацию уязвимости.

Уязвимыми являются накопители с версиями программных оболочек до 5.21 включительно.

Метод заражения

Новый ботнет, получивший название Mukashi, начинает со сканирования 23 порта TCP, затем разворачивает атаку с брутфорса, пытаясь использовать различные комбинации предустановленных логинов и паролей. Если такую комбинацию удаётся подобрать, контрольный сервер получает сигнал об этом; затем на уязвимое устройство пытаются загрузить shell-скрипт и запустить его, после чего удалить любые признаки своего присутствия.

Загруженный и запущенный скрипт, в свою очередь, скачивает и устанавливает различные разновидности бота Mirai, запускает двоичные файлы и снова их удаляет.

Как отметили эксперты Palo Alto Networks Unit 42, ни один из этих двоичных файлов не присутствовал в базе VirusTotal на момент их обнаружения. К моменту публикации исследования Palo Alto, лишь четыре из восьми этих файлов попали в VirusTotal.

Эксперты компании Hold Security обнаружили на подпольных форумах для киберпреступников продажу подробных инструкций о том, как эксплуатировать уязвимость в устройствах Zyxel. Специалисты Palo Alto Networks Unit 42 также отметили, что кто-то пытался встроить эксплойт к устройствам Zyxel в троянец Emotet.

И снова Mirai

Исходный код Mirai был опубликован в 2016 г. После этого расплодились его многочисленные деривативы, которые до сих пор портят кровь рядовым пользователям и системным администраторам.

Вариант под названием Mukashi, как и большинство других разновидностей того же ботнета, начинает со сканирования порта 23, а затем привязывается к порту 23448, чтобы предотвратить запуск более одного экземпляра ботнета. От множества предшественников Mukashi отличается использованием специально созданного протокола шифрования.

«С того момента, когда был опубликован тестовый эксплойт к уязвимости в аппаратах Zyxel, прошло всего около месяца, - говорит Дмитрий Залманов, эксперт по информационной безопасности компании SEC Consult Services, - что вполне закономерно, учитывая, насколько тривиальна эксплуатация и насколько легко ввести уязвимое устройство в ботнет. Стоит отметить, что Mukashi, как и почти любой другой ботнет, обладает DDoS-функциональностью, а это означает, что каждое устройство, пользователи которого не сменили «заводской» пароль, несёт угрозу другим».

Zyxel почти сразу выпустил исправления для уязвимости.

Роман Георгиев

Поделиться

Короткая ссылка