Dark Nexux - это название нового ботнета IoT, который используется для запуска DDoS-атак.
Ботнет распространяется с использованием эксплойтов и запуска атак по заполнению учетных данных против широкого круга устройств IoT, включая маршрутизаторы (от Dasan Zhone, Dlink и ASUS), видеомагнитофоны и тепловизионные камеры.«Сканер реализован в виде конечного автомата, моделирующего протокол Telnet и последующие этапы заражения, на которых злоумышленник адаптивно выдает команды на основе результатов предыдущих команд».
Название Dark Nexus происходит от строк, напечатанных на баннере ботнета, эксперты отметили, что, несмотря на то, что некоторые функции ботнета являются оригинальными, его код имеет сходство с кодами Mirai и Qbot.
Dark_nexus появился в ландшафте угроз в начале этого года, в настоящее время он состоит как минимум из 1372 зараженных устройств, выступающих в качестве обратного прокси-сервера. Эксперты наблюдали инфекции в Китае, Южной Корее, Таиланде, Бразилии и России.
«Хотя он может иметь некоторые функции с ранее известными ботнетами IoT, способ разработки некоторых его модулей делает его значительно более мощным и надежным», - говорится в пресс-релизе, распространяемом фирмой по безопасности. "Например, полезные нагрузки компилируются для 12 различных архитектур ЦП и динамически доставляются в зависимости от конфигурации жертвы ».
Анализ кода Dark Nexus выявил сходство с банковским трояном Qbot и Mirai, но основные модули «в основном оригинальные». Код часто обновляется, обнаружено более 30 версий, выпущенных в период с декабря 2019 года по март 2020 года (версии от 4.0 до 8.6).
«Код запуска бота похож на код Qbot: он несколько раз разветвляется, блокирует несколько сигналов и отсоединяется от терминала».
«Затем, в духе Mirai, он связывается с фиксированным портом (7630), обеспечение того, чтобы один экземпляр этого бота мог работать на устройстве. Бот пытается замаскироваться, изменив свое имя на «/ bin / busybox». Еще одна функция, заимствованная у Mirai, - это отключение сторожевого таймера при периодических вызовах ioctl на виртуальном устройстве ».
Эксперты проанализировали инфраструктуру C2, которая состоит из нескольких серверов, когда-то грубой- принудительная атака успешна, бот регистрируется на сервере C2, предоставляя подробную информацию об устройстве, в свою очередь, он получает пользовательскую полезную нагрузку через Telnet. Эксперты обнаружили при настроенной полезной нагрузке как минимум 12 различных архитектур ЦП.
Вредоносная программа загружает двоичные файлы ботов и другие вредоносные компоненты с хост-сервера (switchnets [.] Net: 80),и затем выполняет их.
Эксперты заметили, что в некоторых версиях ботнета Dark Nexus (от 4.0 до 5.3) реализована функция обратного прокси-сервера, позволяющая жертве выступать в качестве прокси-сервера для хост-сервера. Таким образом, зараженные устройства могут хранить необходимые исполняемые файлы локально, вместо того чтобы обращаться к центральному серверу C2.Одной из наиболее интересных функций, реализованных в ботнете, является набор команд сохранения, которые предотвращают перезагрузку устройства. Команды останавливают службу cron и удаляют привилегии для служб, которые можно использовать для перезагрузки устройств.
Согласно отчетов специалистов, ботнетом управляет человек, который выходит в сеть как Greek Helios, который является автором других бот-сетей IoT, работающих в DDoS-сервисе. Мужчина рекламирует свои ботнеты на канале YouTube.
«Используя видео на YouTube, демонстрирующие некоторые из его прошлых работ, и публикуя предложения на различных форумах по киберпреступности, Greek Helios, похоже, имеет опыт работы с вредоносными навыками IoT, доводить их до стадии разработки нового ботнета dark_nexus .»
Предупреждение: Вся информация представлена исключительно в образовательных целях.
Microsoft предложил помочь обезопасить целостность кода Linux IoT («Интернета вещей»)
Microsoft организует скоординированное удаление ботнета Necurs
Устройства Bluetooth (BLE) подвержены уязвимостям SweynTooth!
Дополнительная информация и статьи: