Hajime, новая вариация червя, атакующего IoT-устройства, была обнаружена исследователями Сэмом Эдвардсом (Sam Edwards) и Яннисом Профетисом (Ioannis Profetis) из Rapidity Networks. Изначально дуэт экспертов собирался исследовать похожего зловреда Mirai, исходный код которого разработчик выложил в открытый доступ. Ожидая всплеска бот-активности после публикации кода, исследователи решили внедрить сервера-приманки по всему миру.

Несколько дней спустя Эдвардс и Профетис обнаружили активность, которую изначально приписали Mirai, но на поверку за ней стоял новый, более сложный зловред, демонстрирующий некоторые особенности поведения Hajime. Он использовал трехступенчатый механизм заражения и был способен самораспространяться.

Оказавшись в зараженной системе, Hajime начинает сканировать случайные IP-адреса в зоне IPv4. Затем червь атакует порт 23 и пытается войти в систему на другом конце соединения, используя набор учетных данных, жестко запрограммированных в коде. Если порт 23 закрыт, зловред прекращает неудачную попытку брутфорса и переходит к следующему IP-адресу.

В случае успешной брутфорс-атаки Hajime посылает на целевую систему четыре команды, чтобы проверить ее на наличие ОС Linux. Атаке Hajime подвержены платформы ARMv5, ARMv7, Intel x86-64, MIPS и little-endian.

На следующем этапе червь загружает 484-байтовый бинарник ELF и запускает его, чтобы установить соединение с сервером атаки и записать полученные данные в новый бинарник, который запускается, как только передача данных завершится. При помощи протокола DHT бинарник подключается к P2P-ботнету, откуда он получает через торрент полезную нагрузку в виде других бинарников и модулей.

Таким образом, Hajime — намного более замысловатый зловред по сравнению с Mirai, к тому же он использует некоторые трюки, характерные для других IoT-зловредов. Например, Rex также устанавливает DHT-соединение с P2P-ботнетом. Уже заготовленные пары “логин — пароль” для брутфорс-атаки на случайные IP-адреса — одна из особенностей Mirai. Многоступенчатый механизм заражения похож на тот, что используется в NyaDrop.

Отличия Hajime в том, что он написан на языке C, а не Go, как Rex, использует P2P-коммуникации вместо прямого C&C-соединения (Mirai) и поражает более широкий спектр платформ, а не только MIPS (NyaDrop). Таким образом, Hajime объединяет в себе самые эффективные методы, которые он позаимствовал у других видов IoT-зловредов.

Hajime нацелен на IP-камеры, DVR и системы видеонаблюдения, в частности системы Dahua, ZTE и других производителей, которым контрактный производитель XiongMai Technologies поставлял эталонные DVR-системы.

Чтобы предотвратить атаку Hajime, нужно блокировать все UDP-пакеты с сообщением об обмене ключами с Hajime, TCP-порт 4636 и любой Telnet-трафик с командой /bin/busybox ECCHI.

Точных сведений о том, кто стоит за разработкой этого зловреда, у исследователей нет. Отследив периоды активности, эксперты Rapidity предполагают, что часовой пояс совпадает с Европой.

Категории: Аналитика, Вредоносные программы