Зараження пристроїв Інтернету речей

Цього тижня було виявлено новий сплеск активного сканування і зараження пристроїв Інтернету речей за допомогою ботнету Satori.

Satori – ботнет на основі Mirai, вперше виявлений дослідженнями безпеки від Qihoo 360 Netlab, які представили аналіз нового варіанту Satori на своєму сайті (https://blog.netlab.360.com/botnets-never-die-satori-refuses-to-fade-away-en/).

XiongMai:

Код, який недавно включили в ботнет Satori використовує вразливість переповнення буферу  в пристроях XiongMai uc-httpd 1.0.0 (CVE-2018-10088). Вразливість дозволяє зловмиснику відправити спотворений пакет через порти 80 та 8000 і виконати код на пристрої, ефективно його перехопити.

Включення вразливості D-Link:

Також виявлено ще одне оновлення Satori. Це був хробак призначений для пристрою D-Link DSL-2750b,  вразливість була опублікована тут (https://www.exploit-db.com/exploits/44760/). Вразливість використовується для зараження маршрутизаторів  D-Link DSL-2750b.

Методи атаки:

Атака використовує вразливість RCE (Віддалене виконання коду), в результаті чого запускає команду wget для завантаження віддаленого сценарію, розміщеного на веб-сервері за адресою 185.62.190.191.

Пізніше був видалений сервер завантаження, але було виявлено таку ж активність з сервера 95.215.169.

Використання заражених пристроїв для DDoS-атак.

Оскільки Satori виникла з ботнету Mirai, вона також має функціонал для проведення DDoS-атак.

• UDP Flood
• SYN Flood
• TCP_ACK Flood
• GRE Flood

Новий варіант Satori вже запустив як мінімум дві DDoS-атаки, які були зареєстровані системою DDosMon:

• 2018-06-13 21:09:00 : TCP_ACK_FLOOD->(144.217.47.56:25565) (https://ddosmon.net/explore/144.217.47.56)
• 2018-06-14 23:00:00 : UDP_FLOOD -> (185.71.67.43:53) (https://ddosmon.net/explore/185.71.67.43)

Рекомендації:

• Власникам вразливих маршрутизаторів продивитися журнальні файли мережевих пристроїв на факт підключення до шкідливих доменів та ІР.
• Якщо підключення були, власникам мережевих пристроїв необхідно невідкладно здійснити їх перезавантаження та скинути їх налаштування до налаштувань за замовченням.
• Оновити мережеві пристрої до актуальних версій прошивок. Інформація про оновлення та актуальні версії знаходиться на офіційних сайтах виробників.