Создатель Satori использует уязвимость в D-Link для организации нового ботнета

Apollon
Оффлайн

Apollon

Заблокирован
Регистрация
07.09.17
Сообщения
5.309
Реакции
1.010
Репутация
1.625
Обратите внимание, если вы хотите провести сделку с данным пользователем, на то, что он заблокирован! Обязательно используйте услуги гаранта и не переводите денежные средства данному пользователю первым.
You must be registered for see images attach

Исследователи обнаружили два новых варианта Mirai - Masuta и PureMasuta.

Разработчик вредоносного ПО Satori (также известного как Mirai Okiru) и создатель одноименного ботнета вновь принялся за дело, в этот раз атакуя маршрутизаторы D-Link с целью организации новой сети ботов. Исследователи из компании NewSky Securityобнаружилидва новых варианта Mirai - Masuta и PureMasuta, автором которых, по всей видимости, является создатель Satori.

В минувшем месяце экспертам в области кибербезопасности удалось идентифицировать организатораатакна маршрутизаторы Huawei, в ходе которых для установки Satori эксплуатировалась уязвимость CVE-2017-17215, связанная с некорректной реализацией в устройствах Huawei HG532 протокола TR-064, применяемого для автоматизации настройки оборудования. Им оказался некто под псевдонимом Nexus Zeta. Тогда Nexus Zeta посчитали хакером-новичком, но судя по разработанным им новым версиям вредоносов, злоумышленник существенно усовершенствовал свои навыки.

Первый вариант, Masuta, опирается на стандартный поиск IoT-устройствс учетными данными по умолчанию. Второй вариант, названный PureMasuta, более интересен, так как эксплуатирует старую уязвимость в протоколе администрирования домашней сети D-Link (Home Network Administration Protocol, HNAP), обнаруженную в 2015 году.

По словам экспертов, используемая вредоносом уязвимость позволяет обойти проверку подлинности с помощью специально сформированного SOAP-запроса - hxxp://purenetworks.com/HNAP1/GetDeviceSettings. Кроме того, из-за некорректной обработки строк возможно выполнение системных команд (приводящих к произвольному выполнению кода). Таким образом злоумышленники может сформировать SOAP-запрос для обхода авторизации и выполнения произвольного кода.

В начале января после некоторого затишья ботнет Satori возобновил активность и былзамеченв атаках на оборудование для майнинга криптовалюты с установленным ПО Claymore. Новый вариант вредоноса заменяет пул и адрес кошелька владельца на адрес и пул злоумышленников.

HNAP – сетевой протокол, разработанный компанией Pure Networks, позже права на него приобрела Cisco Systems. HNAP основан на протоколе Simple Object Access Protocol (SOAP) и используется для администрирования сетевых устройств.
 
Войдите или зарегистрируйтесь для ответа.
Сверху Снизу