Новый вариант Mirai оперирует множеством эксплойтов для проникновения на подключенные к Интернету устройства. Одиннадцать из них, по словам экспертов, Mirai-подобные зловреды прежде не использовали.

Эту итерацию печально известного IoT-бота исследователи из Palo Alto Networks обнаружили в начале января. Анализ показал, что арсенал новобранца содержит 27 эксплойтов для различных IoT-устройств и сетевого оборудования. Многие из этих инструментов атаки уже были известны экспертам: клоны Mirai, наплодившиеся после публикации исходного кода, стали ими обзаводиться в дополнение к списку дефолтных логинов и паролей, которым оперировал оригинал.

Как оказалось, более десятка эксплойтов, приданных январской модификации Mirai, не встречались ранее и позволяют значительно расширить площадь атаки для таких зловредов. Так, в отличие от своих собратьев, новоявленный бот умеет атаковать умные телевизоры LG линейки Supersign (RCE-баг CVE-2018-17173) и беспроводные системы для презентаций WePresent WiPG-1000 (возможность внедрения команд, без CVE-идентификатора, модуль для Metasploit опубликован в апреле 2017 года). Он также освоил

  • уязвимость удаленного внедрения команд в сетевых видеокамерах DLink DCS-930L, ставшую достоянием общественности в 2016 году;
  • внедрение команд через веб-интерфейс роутеров DLink DIR-645 и DIR-815, возможность которого была обнародована в 2013 году;
  • удаленное внедрение команд в кастомных версиях роутерах Zyxel P660HN-T, раскрытое в начале 2017 года;
  • удаленное выполнение произвольных команд в сетевых устройствах Netgear (CVE-2016-1555), эксплойт опубликован в ноябре 2018 года;
  • баги удаленного выполнения команд CVE-2017-6077 и CVE-2017-6334 годовой давности в роутерах и ADSL-модемах того же разработчика;
  • возможность удаленного выполнения команд в некоторых устройствах линейки Netgear Prosafe, опубликована в мае 2018 года.

Список учетных данных для словарных атак IoT-бота тоже был расширен — в нем появились четыре позиции, не встречавшиеся ранее:

  • admin:huigu309
  • root:huigu309
  • CRAFTSPERSON:ALC#FGU
  • root:videoflow

Вредоносный загрузчик (сценарий командной строки), доставляемый через эксплойт, размещен на скомпрометированном сервере в Колумбии. Для связи с центром управления зловред использует домен epicrustserver[.]cf и порт 23823.

Обосновавшись на устройстве, новая итерация Mirai, как и ее предшественники, начинает сканировать Интернет в поисках уязвимых устройств. Как оказалось, этот бот также способен по команде проводить DDoS-атаки по типу HTTP flood.

В последнее время эксперты фиксируют рост активности Mirai-подобных зловредов.

Среди стран по числу заражений лидируют Китай (348 хостов) и Египет (317, и количество их увеличивается). Россия занимает в этом рейтинге 4-е место (116, из них 100 находится в сетях сервис-провайдера «Ростелеком»). Список наиболее часто атакуемых портов (по состоянию на 17 марта) возглавляет 23/TCP, на котором работает служба Telnet:

Категории: Аналитика, Вредоносные программы, Уязвимости