No final de abril, os pesquisadores de segurança da informação do Bitdefender LABS
descobriram uma nova versão da botnet Hide and Seek (HNS), que ficou
conhecida no início de 2018. Ele usa um protocolo P2P personalizado e é o primeiro botnet a "sobreviver", mesmo após a reinicialização do dispositivo no qual está fixo.
Mostraremos como o HNS faz isso e como proteger os dispositivos IoT.
/ Flickr / chris yiu / ccA botnet “esconde-esconde” com especialistas em segurança desde 10 de janeiro: na época, a rede Hide and Seek consistia em apenas 12 dispositivos. A maioria era de câmeras IP fabricadas pela empresa coreana Focus H&S, e seus endereços IP estavam explicitamente escritos no código.
Após o botnet "se esconder" e se encontrar apenas em 20 de janeiro, ele já incluía 14 mil dispositivos infectados. Após o qual a botnet continuou sua distribuição ativa e
conseguiu infectar cerca de 90 mil dispositivos únicos. E assim, em abril, sua nova versão apareceu.
Como funciona uma botnet?
A nova versão do botnet contém várias melhorias nos mecanismos de distribuição. Por exemplo, ele aprendeu a explorar mais duas vulnerabilidades das câmeras IP (mais detalhes
aqui e
aqui ), o que permitiu aumentar os direitos de acesso no sistema e obter controle sobre o dispositivo. Além disso, o HNS pode detectar dois novos tipos de dispositivos e acessá-los por logins e senhas de força bruta (usando a lista de senhas definidas por padrão).
O mecanismo de propagação do HNS se
assemelha à forma como os worms de rede se “multiplicam”. Primeiro, o bot gera uma lista de endereços IP aleatórios para selecionar vítimas. Em seguida, ele envia uma solicitação SYN para cada host e continua a "comunicação" com aqueles que responderam à solicitação nas portas 23 2323, 80 e 8080. Depois que a conexão é estabelecida, o malware pesquisa a mensagem "login de buildroot" e tenta fazer login usando credenciais predefinidas. Em caso de falha, o HNS aplica a correspondência de
dicionário na lista codificada.
Após a conexão, a botnet determina o dispositivo de destino e seleciona o método apropriado de comprometimento. Por exemplo, se o bot estiver localizado na mesma rede LAN da vítima, ele configurará o servidor TFTP, permitindo que o destino baixe a amostra de malware diretamente. Se a vítima estiver "localizada" na Internet, a botnet tentará vários métodos para entrega remota do "pacote malicioso". Todas as explorações são pré-configuradas e armazenadas em um local de memória assinado digitalmente para impedir o acesso não autorizado. A lista de métodos pode ser atualizada remotamente e distribuída entre hosts infectados.
Os pesquisadores de segurança da informação
descobriram que a botnet possui dez binários compilados para diferentes plataformas: x86, x64, ARM (Little Endian e Big Endian), SuperH, PPC e outros.
E, para obter uma posição confiável no sistema, após uma infecção bem-sucedida do dispositivo de destino, o bot se copia para /etc/init.d/ e ativa a função de carregamento automático junto com a inicialização do sistema operacional (a interação com a vítima ocorre via Telnet, pois é necessário o root para copiar os binários no diretório init.d -Certo). Em seguida, o HNS abre uma porta UDP aleatória que os cibercriminosos precisarão entrar em contato com o dispositivo.
/ Flickr / pascal / PDOutras grandes redes de bots
Um dos bots mais famosos da IoT pode ser chamado
Mirai . Como o HNS, esse botnet procurava dispositivos IoT com portas Telnet abertas. Os autores de Mirai, fãs de Minecraft e anime (Mirai em japonês
significa "futuro", em homenagem
ao mangá "Diário do Futuro"), em 2016 realizaram vários ataques DDoS poderosos em sites, servidores de fornecedores (em
setembro e
outubro ) e
infectados por 300 mil dispositivos IoT (aqui você pode encontrar uma análise detalhada do código fonte do Mirai).
Outro caso bem conhecido é o Hajime (traduzido do japonês significa "começo"). Essa botnet capturou 300 mil dispositivos IoT usando ataques de força bruta. Os ataques do Hajime visam principalmente gravadores de vídeo digital, webcams e roteadores. De acordo com um
estudo da Kaspersky Lab, a botnet infectou principalmente dispositivos do Vietnã (20%), Taiwan (13%) e Brasil (9%). Ao mesmo tempo, o Hajime "conscientemente" evitou redes privadas (incluindo as do Departamento de Defesa dos EUA, Hewlett-Packard, General Electric e outras).
Como se proteger
Segundo representantes da Bitdefender, a botnet HNS ainda está em um "estágio de crescimento". Seus operadores estão tentando capturar o maior número possível de dispositivos. Portanto, ataques com sua participação ainda não foram realizados. Mas existe a possibilidade de que em breve os hackers adicionem "equipes de combate" a arquivos binários.
Para proteger os dispositivos IoT de ataques HNS e botnets em geral, os especialistas em segurança da Trend Micro
recomendam seguir estas etapas simples e bastante comuns:
- Altere a senha padrão do dispositivo IoT para uma mais complexa (tudo é como de costume: pelo menos 15 caracteres, letras maiúsculas diferentes, além de números e sinais);
- Instale atualizações regularmente, especialmente aquelas relacionadas à segurança;
- Use soluções de software para proteger a rede, criptografia de tráfego etc.
Esses métodos simples permitem que você se proteja de muitos programas maliciosos que "recrutam" a Internet de dispositivos de coisas em suas fileiras.
Uma seleção de materiais do nosso blog corporativo: