Виявлений ботнет Satori із 280 000 активних “учасників”


Дізнайтесь більше про нові кар'єрні можливості в EchoUA. Цікаві проекти, ринкова оплата, гарний колектив. Надсилайте резюме та приєднуйтеся до нас.

Фахівці виявили нову малварь Satori, що налічує понад 280 000 активних ботів. Ботнет є поліпшеним варіантом Mirai, малвари Інтернету вищого IoT-пристрою, що перетворює на потенційних учасників DDoS-атак. Зазначимо, що це вже друге виявлення такого великого ботнета за останні два тижні. Популярність Mirai пояснюється тим фактом, що його початковий код був викладений у вільному доступі.

Ботнет Satori

За словами Лі Фенгпея, фахівця компанії Qihoo 360 Netlab, Satori вперше був виявлений 5 грудня 2017 року. Наголошується, що малварь сканує порти 37215 і 52869. Згідно зі звітом Фенгпея, Satori помітно відрізняється від попередніх версій Mirai, які заражали IoT-пристрої за допомогою Telnet-сканування і методом підбору зв’язки логіна і пароля.

Як поширюється Satori?

Satori замість сканера використовує два експлойта, які намагаються підключитися до видалених пристроїв через порти 37215 і 52869. Це допомагає вважати нову версію малвари IoT-черв’яком, здатним самостійно поширюватися без необхідності використання додаткових компонентів.

Відповідно до даних Qihoo 360 Netlab, за 12 годин спостережень було встановлено, що 263 250 IP-адрес сканують порт 37215 у пошуках нових жертв, а ще 19 403 – порт 52869.

Експлойти

Лі Фенгпей додає, що порт 37215 використовується для експлуатації вразливості нульового дня, чим і пояснюється стрімке збільшення ботнета. Природа вразливості дотепер не відома команді Qihoo 360 Netlab.

Проте головний стратег із питань безпеки провайдера CenturyLink Дейл Дрю розповів в інтерв’ю журналістам ArsTechnica, що цілком може йтися про експлуатацію бага в роутерах Huawei Home Gateway. Ця вразливість, що дозволяє виконати довільний код, була виявлена наприкінці листопада 2017 року фахівцями компанії Check Point.

За даними пошукової системи Shodan, в онлайн-доступі можна виявити не менше 225 000 уразливих девайсів.

Що стосується іншого експлойта порту 52869, то він відноситься до відомої і старої вразливості в облаштуваннях Realtek (CVE – 2014-8361), яка, швидше за все, вже була виправлена спеціальним патчем на багатьох пристроях. Саме цим і пояснюється менший успіх подібних сканувань.

Satori пов’язаний з попереднім ботнетом Mirai

Лі Фенгпей припускає, що поява ботнета Satori може бути пов’язана із ситуацією, виявленою аналітиками компанії в Аргентині наприкінці листопада. Та версія Mirai протягом двох днів змогла заразити більше як 100 тисяч пристроїв. Залишається неясним, чи стоїть та сама людина за обома ботнетами? Було лише встановлено, що обидві версії використовують однакові імена деяких файлів і функцій, а також схожі command and control-протоколи.

Джерело: Bleeping Computer

Київ, Харків, Одеса, Дніпро, Запоріжжя, Кривий Ріг, Вінниця, Херсон, Черкаси, Житомир, Хмельницький, Чернівці, Рівне, Івано-Франківськ, Кременчук, Тернопіль, Луцьк, Ужгород, Кам'янець-Подільський, Стрий - за статистикою саме з цих міст програмісти найбільше переїжджають працювати до Львова. А Ви розглядаєте relocate?


Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *