Ссылаясь на отчет Bitdefender, репортер Bleeping Computer предупреждает о появлении нового p2p-ботнета, составленного преимущественно из IP-камер, который в настоящее время используется лишь для проксирования трафика. По словам исследователей, за 14 дней с момента обнаружения численность бот-сети HNS (Hide ‘N Seek — «Игра в прятки») возросла с 12 зараженных устройств до более 24 тысяч, разбросанных по всему миру.

Согласно хронологии Bitdefender, бот HNS впервые объявился в Сети 10 января, затем исчез с горизонта и вернулся 20 января с рядом усовершенствований. Анализ показал, что данный зловред способен атаковать сетевые устройства, используя уязвимости (CVE-2016-10401 и другие) подобно IOtroop/Reaper, и выполнять по команде ряд действий, таких как извлечение данных, исполнение кода и вмешательство в работу устройства. DDoS-функций у HNS не обнаружено, но это не значит, что они не появятся позднее.

Как оказалось, новоявленный бот также обладает механизмом самораспространения. Используя списки произвольно сгенерированных IP-адресов, он отыскивает потенциальные мишени с открытыми Telnet-портами и пытается залогиниться с помощью заданных идентификаторов. Если они не подходят, зловред начинает перебирать варианты по словарю, используя вшитый список.

Установив сеанс связи с новым устройством, HNS пытается определить его профиль, чтобы выбрать наиболее подходящий способ заражения. Если целевое устройство находится в той же локальной сети, что и бот, он устанавливает TFTP-сервер, чтобы жертва могла загрузить вредоносный код с подключенного устройства. Если цель находится в Интернете, бот пытается тем или иным образом обеспечить удаленную доставку полезной нагрузки.

Все эти техники, по словам экспертов, предварительно заданы еще одним списком, снабженным цифровой подписью во избежание стороннего вмешательства. Этот список обновляется удаленно и загружается на ботнет оператором.

Возможность самораспространения HNS и децентрализованная p2p-архитектура ботнета, построенного на его основе, напомнили экспертам о Hajime — IoT-боте, обнаруженном исследователями из Rapidity Networks в начале октября. Однако пиры Hajime для обмена используют протокол BitTorrent, а HNS — кастомный p2p. Списки IP-адресов пиров, раздаваемые ботам, операторы HNS обновляют в реальном времени; данный ботнет также снабжен различными средствами противодействия стороннему вмешательству и угону.

К счастью, боты HNS, как и прочие IoT-зловреды, не способны долго жить на устройствах: от такого заражения можно легко избавиться простой перезагрузкой. По этой причине ботоводу приходится постоянно контролировать свои боевые порядки, пополняя их новобранцами.

Категории: Аналитика, Вредоносные программы