Man
Professional
- Messages
- 2,963
- Reaction score
- 486
- Points
- 83
Исследователи Aqua Nautilus обнаружили новую и широко распространенную кампанию Distributed Denial-of-Service (DDoS), организованную злоумышленником под названием Matrix. Это расследование, вызванное действиями, обнаруженными на наших honeypots, глубоко погружается в методы, цели, инструменты и общие цели Matrix.
Эта кампания показывает, как доступные инструменты и минимальные технические знания могут позволить проводить крупномасштабные кибератаки. Matrix демонстрирует растущую тенденцию среди субъектов угроз нацеливаться на уязвимости и неправильные конфигурации на подключенных к Интернету устройствах, особенно в системах IoT и корпоративных системах. Операция сочетает в себе публичные скрипты, атаки методом подбора и эксплуатацию слабых учетных данных для создания ботнета, способного нанести глобальный ущерб.
Цель этого блога — проанализировать структуру атаки Matrix, сопоставить ее с инфраструктурой MITRE ATT&CK и предложить действенные шаги для защиты от таких угроз. Результаты демонстрируют тревожную эволюцию ландшафта угроз, где даже скрипт-кидди могут использовать инструменты с открытым исходным кодом для выполнения сложных и масштабных кампаний.
Помимо устройств Интернета вещей, злоумышленники также нацелены на распространенные протоколы и приложения, такие как Telnet, SSH, Hadoop и HugeGraph, эксплуатируя уязвимости и неверные конфигурации для получения доступа к более надежной серверной инфраструктуре.
Многие из этих атак включают попытки входа методом подбора с использованием общих учетных данных по умолчанию, таких как admin:adminили root:camera, которые продолжают преобладать на незащищенных устройствах, что делает их особенно уязвимыми для компрометации. После компрометации эти устройства становятся активами в более масштабных операциях, включая атаки типа «распределенный отказ в обслуживании» (DDoS).
Ключевые методы этой кампании включают в себя:
Рисунок 1: Захваченный пакет, указывающий на успешный вход в камеру с использованием учетных данных пользователя root и пароля xc3551 по умолчанию.
Мы обнаружили 167 уникальных пар имени пользователя и пароля в нескольких файлах. Затем они были загружены в скрипт подбора, развернутый на открытом сервере, функционирующий как часть червеобразного механизма для обнаружения новых серверов или устройств IoT и добавления их в ботнет. Примечательно, что 134 из 167 паролей (~80%) принадлежали пользователям root или admin, что подчеркивает преобладание учетных данных по умолчанию.
При тестировании с использованием различных измерителей надежности паролей эти пароли постоянно получали очень низкие баллы, а общая оценка была «очень плохо».
Более подробную информацию о неправильных конфигурациях можно найти в Приложении 1 ниже.
Выявленные цели включают как серверы разработки, так и производственные серверы с уязвимостями. Как упоминалось ранее, злоумышленник также использует неправильно настроенные серверы Telnet, SSH и Hadoop, особенно в основных диапазонах CSP (поставщиков облачных услуг), что подчеркивает направленность их кампании. Однако большинство уязвимостей сосредоточено вокруг устройств IoT (CVE-2022-30525, CVE-2022-30075, CVE-2018-10562, CVE-2018-10561, CVE- 2018-9995, CVE-2017-18368, CVE-2017-17215, CVE-2017-17106 и CVE-2014-8361). Это подтверждает основную цель злоумышленников: компрометация устройств Интернета вещей с минимальными мерами безопасности для расширения их DDoS-ботнета, что позволит этим устройствам оставаться скомпрометированными в течение длительного времени.
Более подробную информацию о CVE можно найти в Приложении 2 ниже.
Интересно, что злоумышленник использовал выделенные списки поставщиков облачных услуг (CSP), уделяя особое внимание их диапазонам IP-адресов. Кроме того, атаке подверглись также небольшие частные облака и компании. Например, диапазон IP-адресов Intuit был среди целей злоумышленника, наряду с устройствами IoT и многочисленными организациями в регионе Азиатско-Тихоокеанского региона, особенно в Китае и Японии.
Это говорит о том, что, хотя хакеры, намеревающиеся запустить DDoS-атаки, традиционно ассоциируются с атаками на устройства IoT, они все чаще расширяют сферу своего внимания, включая в нее диапазоны IP-адресов поставщиков коммуникационных услуг, уделяя особое внимание критической инфраструктуре как крупных, так и региональных организаций.
Рисунок 2: Круговая диаграмма диапазонов IP-адресов CSP, на которые нацелена Matrix
Интересно, что Китай и Япония оказались наиболее целевыми странами со значительным отрывом. Это может быть связано с широким распространением устройств IoT в регионе Азиатско-Тихоокеанского региона, что делает его основной целью для хакеров, стремящихся осуществить DDoS-атаки. Примечательно, что США занимают лишь 15-е место в списке целевых стран.
Предполагается, что субъект угрозы имеет российское происхождение, однако Россия полностью отсутствует в списке целей, что соответствует ожиданиям. Однако особенно удивительно отсутствие Украины в списке целей. Это говорит о том, что мотивы субъекта тесно связаны с финансовой выгодой, а не с патриотическими чувствами, что подчеркивает деловой подход к их операциям.
Рисунок 3: Анализ целевых IP-адресов на карте мира
Наш анализ выявил почти 35 миллионов подключенных к Интернету устройств, на которых запущены целевые продукты, разыскиваемые злоумышленником. Важно отметить, что Shodan предоставляет снимок уязвимых устройств, в то время как злоумышленник активно сканирует, используя скомпрометированные серверы и устройства. Это говорит о том, что фактическое количество целей может быть еще выше.
Несмотря на большое количество идентифицированных устройств, не все из них уязвимы или неправильно настроены. Если предположить, что только 1% этих устройств пригодны для эксплуатации, потенциальный размер ботнета может достичь 350 000 устройств. Если 5% уязвимы, размер ботнета может вырасти до предполагаемых 1,7 миллиона устройств.
Для сравнения, массивные ботнеты, такие как ботнет 911-S5, достигли пика в 1,9 млн устройств, в то время как ботнеты меньшего масштаба, такие как ботнет Gorilla, достигли около 300 000 устройств. Даже в нижней части этого диапазона ботнет такого размера, контролируемый одним злоумышленником, будет представлять значительную угрозу.
Рисунок 4: Диаграмма активности репозитория Matrix GitHub
Основным языком разработки, по-видимому, является Python, на который приходится около 40% активности, за ним следуют Shell и Golang с примерно 18% каждый, с небольшими вкладами в Java, JavaScript и Perl. Это разнообразие подчеркивает диапазон знакомства с языком, но большинство инструментов происходят из других учетных записей GitHub или веб-сайтов безопасности или взлома. Вместо того, чтобы разветвлять репозитории, инструменты загружаются и изменяются локально, что предполагает уровень настройки и адаптивности. Однако сильная зависимость от внешних скриптов отражает тенденции скрипт-кидди с акцентом на использование существующих инструментов, а не на разработку расширенных возможностей самостоятельно. Кроме того, большинство коммитов выполняется в будние дни (~95%), что указывает на работу в рабочие дни, а не на хобби и работу в выходные.
За последний год активность GitHub демонстрирует постоянную активность в широком спектре публичных проектов и технологий. Основные вехи включают в себя постоянные усилия в написании скриптов Python, Go и Shell, со значительным прогрессом в таких репозиториях, как scanner, DHJIF и 2FTS3. Эта модель активности может подчеркивать сильную направленность на создание и улучшение инструментов ботнета при изучении различных областей, включая скриптинг, сетевые проекты и автоматизацию.
Рисунок 5: Анализ активности Matrix на GitHub
Значительное внимание было уделено таким репозиториям, как scanner, gggggsgdfhgrehgregswe, musersponsukahaxuidfdffdf и DHJIF. В этих репозиториях размещены различные инструменты, предназначенные для сканирования, эксплуатации и развертывания вредоносного ПО — в первую очередь Mirai и других инструментов, связанных с DDoS, — на устройствах и серверах IoT. Кроме того, значительные усилия были направлены на репозиторий qqq, который использовался во время ранней кампании тестирования в феврале 2024 года. Эта кампания привлекла некоторое внимание в СМИ, на форумах разработчиков и на веб-сайтах по безопасности, а отчеты освещали ее активность и потенциальное влияние.
Эта первая кампания была довольно простой и прямолинейной. Основная полезная нагрузка была развернута из скрипта под названием vpn.py(приложение 3).
Рисунок 6: Содержимое скрипта vpn.py
Этот скрипт — бот Discord, предназначенный для подключения к определенным каналам и выполнения команд. Он интегрируется с Discord для обеспечения удаленного управления и отправляет сообщения на назначенные каналы при выполнении действий, таких как подключение или выполнение команд. Бот включает в себя функционал для запуска потока пакетов на основе UDP (тип атаки типа «отказ в обслуживании») против указанного IP-адреса и порта в течение заданного времени.
Вот некоторые из инструментов DoS, которые Matrix загрузил в свой аккаунт GitHub. Большинство из них также были замечены в реальных атаках.
При наблюдении за двоичным файлом в Ghidra создается впечатление, что злоумышленник объединил (или использовал объединенный инструмент), содержащий как бот DiscordGo, так и возможности DDoS.
Рисунок 7: Скриншот из Ghidra, показывающий использование пакета DiscordGo
И возможности DDoS, как показано на рисунке 8 ниже.
Рисунок 8: Скриншот Ghidra, демонстрирующий возможности DDoS
Этот список выше демонстрирует значительную коллекцию инструментов DDoS, которые могут указывать на инновационного и высококвалифицированного злоумышленника. Однако при более внимательном рассмотрении инструменты в основном имеют открытый исходный код и общедоступны. Истинное мастерство заключается в способности эффективно интегрировать и использовать эти инструменты, что подчеркивает растущую угрозу, которую представляют скрипт-кидди с доступом к легкодоступным хакерским ресурсам.
Рисунок 9: ASCI-арт одного из инструментов DDoS
В одном из репозиториев мы также нашли скрипт, который можно использовать для проверки наличия Windows Defender, чтобы либо избежать обнаружения, либо отключить его. Он также может служить приманкой, запуская Defender, отвлекая пользователя, пока DDoS-атака продолжается в фоновом режиме.
Кроме того, Matrix также использует это playit.gg как часть своего массива серверов C2. Playit.gg— это услуга, которая позволяет пользователям размещать игровые серверы на своих персональных компьютерах без необходимости переадресации портов. Используя специальное туннельное программное обеспечение и сеть Anycast, она позволяет игрокам по всему миру безопасно и эффективно подключаться к своему серверу.
Покупатели могут выбирать между различными планами, включая различные уровни доступа («Basic», «Premium», «Ultima», «Business», «Elite» и «Enterprise»), которые предоставляют определенные квоты использования и временные ограничения для атак, например, 60 секунд для уровня 4 и 300 секунд для уровня 7 в базовом плане. Оплата производится криптовалютой.
Рисунок 10: Иллюстрация магазина Telegram на основе скрипта
Помимо непосредственных жертв DDoS-атак, значительное влияние оказывается и на компании, чьи серверы были скомпрометированы. Например, если затронутые серверы являются частью инфраструктуры поставщика облачных услуг, они могут быть деактивированы поставщиком услуг, что приведет к сбою в работе компании-жертвы. В одном известном случае вмешалось ФБР и арестовало веб-сайт, на котором размещался онлайн-торговый автомат DDoS, отключив его, чтобы предотвратить дальнейшее нецелевое использование.
Рисунок 11: ФБР арестовало этот веб-сайт после того, как он предложил услуги DDoS.
Кроме того, мы наблюдали выполнение операции по майнингу криптовалюты, специально нацеленной на монету ZEPHYR. Эта деятельность была ограничена одним репозиторием. Хотя операция по майнингу (как показано на рисунке 12 ниже) может показаться значительной, злоумышленнику удалось добыть только около 1 ZEPHYR, что в настоящее время имеет стоимость около 2,70 долларов США. Это подчеркивает относительно низкую финансовую доходность такой деятельности по майнингу в этой кампании.
Рисунок 12: Скриншот операции по майнингу криптовалюты компанией Matrix
Первоначальный доступ
Кампания характеризуется масштабным использованием общедоступных скриптов, что подчеркивает растущую угрозу, которую представляют так называемые скрипт-кидди, которые могут интегрировать и использовать эти инструменты для значимых атак. Хотя первоначальный доступ часто достигается с помощью атак методом подбора и использования известных уязвимостей, Матрикс демонстрирует ориентированность на бизнес, используя скомпрометированные устройства для DDoS-атак и продавая свои услуги через магазин ботов Telegram.
Наш анализ выявил широкий спектр используемых уязвимостей, включая CVE, нацеленные на устройства IoT, маршрутизаторы и корпоративные серверы. Кроме того, неправильно настроенные устройства и слабые учетные данные усиливают охват кампании, потенциально затрагивая миллионы устройств по всему миру.
Платформа приложений Cloud Native Application Platform (CNAPP) от Aqua предлагает вам великолепные решения для среды выполнения, чтобы защитить вашу облачную среду. Она позволяет вам сканировать вашу среду, включая ваш код, образы контейнеров и облачные рабочие нагрузки, и обнаруживать угрозы, такие как известные уязвимости, скрытое вредоносное ПО, скрытые секреты, ошибки конфигурации и проблемы с лицензиями на открытый исходный код.
Еще одно превосходное решение, которое может помочь в этом сценарии, — это Dynamic Threat Analysis (DTA) от Aqua. DTA специально разработан для выполнения контейнеров в среде песочницы, раскрывая любые скрытые угрозы, такие как атаки на цепочку поставок, которые могут возникнуть из-за вредоносного пакета или всего образа контейнера. В этом контексте DTA может использоваться в качестве песочницы аналитиками Security Operation Center (SOC) или Incident Response (IR) для анализа вредоносного ПО Linux.
Этот вариант использования довольно прост. Имея доступ к репозиториям GitHub, мы можем продемонстрировать, как специалисты могут использовать DTA Aqua для анализа вредоносного ПО Linux в контейнерных средах.
Чтобы продемонстрировать возможности DTA, мы используем ubuntu:latest в качестве базового образа, а в entrypoint.shскрипте мы клонировали scannerрепозитории DHJIF и выполнили несколько скриптов эксплойта и сканирования. Эта симуляция представляет собой сценарий, в котором вредоносное ПО внедряется во время выполнения контейнера.
Как показано в Dockerfile ниже, мы используем ubuntu:latest в качестве базового образа и запускаем скрипт оболочки точки входа.
Рисунок 13: Наш Dockerfile
Как показано на рисунке 14 ниже, мы клонируем репозитории scannerи DHJIFдля имитации ситуации, когда злоумышленник не помещает вредоносное ПО внутрь контейнера, это похоже на атаку цепочки поставок, когда вредоносное ПО загружается с удаленного сервера. Таким образом, мы также можем узнать о вредоносном ПО и скрипте Matrix в среде песочницы.
Рисунок 14: Наш файл entrypoint.sh
При просмотре главной страницы результатов вы можете увидеть, что образ контейнера не соответствует требованиям, но только из-за политики DTA. Другие политики, такие как уязвимости и конфиденциальные данные, не приводят к сбою контейнера. Это имеет смысл, поскольку базовый образ — ubuntu:latest.
Рисунок 15: Платформа Aqua, страница результатов сканирования изображений
На рисунке 16 ниже вы можете видеть, что нет никаких критических или высоких уязвимостей. В большинстве случаев инженеры по безопасности передадут образ контейнера, и он будет разрешен для запуска в производственных средах. Однако политика DTA основана на другом подходе. Выполнение образа контейнера в песочнице и наблюдение за любым дрейфом или скрытыми вредоносными фрагментами, выполненными.
Рисунок 16: Платформа Aqua, существенных уязвимостей в образе контейнера нет
В качестве примечания, вредоносное ПО не обязательно должно быть получено с удаленного сервера. Оно может возникнуть как зашифрованная атака на цепочку поставок, непреднамеренно внедренная разработчиками, которая находится в состоянии покоя и ждет, когда ее можно будет нанести в производственных средах.
Однако в этом случае DTA показывает другой результат. На рисунке 17 ниже вы можете увидеть 12 результатов из операции Dynamic Threat Analysis. Выявление вредоносного ПО в контейнере.
Рисунок 17: Платформа Aqua, результаты DTA
На рисунке 18 ниже вы можете увидеть, что DTA обнаружил 10 вредоносных файлов, сброшенных во время выполнения контейнера.
Рисунок 18: Платформа Aqua, результаты DTA
На рисунке 19 ниже вы можете наблюдать связь с GitHub. Хотя такая связь по своей сути не является подозрительной, не рекомендуется загружать какие-либо файлы или ресурсы во время выполнения. Такое поведение должно быть отмечено как потенциально подозрительное и проверено инженером по безопасности, чтобы убедиться, что оно не представляет угрозы безопасности.
Рисунок 19: Платформа Aqua, результаты DTA
Источник
Эта кампания показывает, как доступные инструменты и минимальные технические знания могут позволить проводить крупномасштабные кибератаки. Matrix демонстрирует растущую тенденцию среди субъектов угроз нацеливаться на уязвимости и неправильные конфигурации на подключенных к Интернету устройствах, особенно в системах IoT и корпоративных системах. Операция сочетает в себе публичные скрипты, атаки методом подбора и эксплуатацию слабых учетных данных для создания ботнета, способного нанести глобальный ущерб.
Цель этого блога — проанализировать структуру атаки Matrix, сопоставить ее с инфраструктурой MITRE ATT&CK и предложить действенные шаги для защиты от таких угроз. Результаты демонстрируют тревожную эволюцию ландшафта угроз, где даже скрипт-кидди могут использовать инструменты с открытым исходным кодом для выполнения сложных и масштабных кампаний.
Ключевые выводы
- Эта операция представляет собой комплексный комплекс услуг по сканированию, использованию уязвимостей, развертыванию вредоносного ПО и настройке наборов инструментов, демонстрируя подход к кибератакам, позволяющий сделать все самостоятельно.
- Кампания демонстрирует, как один субъект угрозы (или, по крайней мере, такое впечатление создается) может организовать масштабную глобальную атаку.
- Несколько показателей указывают на то, что злоумышленник — это script kiddie. Однако с распространением инструментов искусственного интеллекта (ИИ) и обилием хакерских инструментов plug-and-play script kiddies теперь представляют большую угрозу, чем когда-либо прежде.
- Несмотря на демонстрацию явных признаков российской принадлежности — или, по крайней мере, создания такого восприятия — отсутствие украинских целей подчеркивает отсутствие политической мотивации. Это подчеркивает фокус на финансовой выгоде, а не на идеологических или патриотических целях.
- Исторически основным воздействием на серверы, задействованные в жизненном цикле разработки ПО, был майнинг криптовалют. Между тем, устройства IoT остаются основными целями ботнетов DDoS из-за их облегченной конструкции и минимальных мер безопасности. Однако эта кампания знаменует собой эволюцию, поскольку субъект угрозы активно нацеливается как на серверы разработки, так и на производственные серверы. Этот сдвиг может свидетельствовать о растущем интересе к использованию корпоративных уязвимостей и неправильных конфигураций для деятельности DDoS.
Векторы первоначального доступа, используемые в этой кампании
Эта кампания, хотя и не очень сложная, демонстрирует, как доступные инструменты и базовые технические знания могут позволить отдельным лицам выполнить широкую, многогранную атаку на многочисленные уязвимости и неправильные конфигурации в сетевых устройствах. Собирая общедоступные скрипты и инструменты и эксплуатируя стандартные или жестко закодированные учетные данные, злоумышленники могут получить начальный доступ к широкому спектру подключенных к Интернету устройств и серверов, включая IP-камеры, DVR, маршрутизаторы, телекоммуникационное оборудование и другие устройства IoT.Помимо устройств Интернета вещей, злоумышленники также нацелены на распространенные протоколы и приложения, такие как Telnet, SSH, Hadoop и HugeGraph, эксплуатируя уязвимости и неверные конфигурации для получения доступа к более надежной серверной инфраструктуре.
Многие из этих атак включают попытки входа методом подбора с использованием общих учетных данных по умолчанию, таких как admin:adminили root:camera, которые продолжают преобладать на незащищенных устройствах, что делает их особенно уязвимыми для компрометации. После компрометации эти устройства становятся активами в более масштабных операциях, включая атаки типа «распределенный отказ в обслуживании» (DDoS).
Ключевые методы этой кампании включают в себя:
- Уязвимости маршрутизаторов: атаки на маршрутизаторы, включая модели ZTE и GPON, используют такие уязвимости, как CVE-2017-18368, уязвимость внедрения команд, и CVE-2021-20090, которая затрагивает различные устройства под управлением прошивки Arcadyan.
- Уязвимости цифровых видеорегистраторов и камер: злоумышленники используют уязвимости устройств видеонаблюдения с помощью платформы Hi3520, обеспечивая несанкционированный доступ и выполнение команд через HTTP.
- Телекоммуникационное оборудование и устройства Интернета вещей: атакам подвергаются устройства, работающие под управлением облегченных дистрибутивов Linux, таких как uClinux, что позволяет использовать преимущества конфигураций и служб по умолчанию, включая уязвимости UPnP в устройствах Huawei и Realtek.
- Расширенные эксплойты в программных системах: кампания также нацелена на уязвимости в серверах Apache Hadoop YARN и HugeGraph, позволяя выполнять удаленный код и расширяя атаку за пределы устройств Интернета вещей на корпоративное программное обеспечение.
Анализ неправильных конфигураций и паролей
В этой кампании мы наблюдали несколько начальных векторов доступа, связанных с неправильными настройками, в частности, слабыми паролями. Они включали как слабые пароли по умолчанию, обычно встречающиеся в устройствах IoT, так и слабые пароли, выбранные пользователем. Кроме того, мы выявили скрипты, нацеленные на открытые файлы, содержащие пароли, в основном размещенные на HTTP-серверах, что приводит к потенциальному раскрытию и удаленному выполнению кода.
Рисунок 1: Захваченный пакет, указывающий на успешный вход в камеру с использованием учетных данных пользователя root и пароля xc3551 по умолчанию.
Мы обнаружили 167 уникальных пар имени пользователя и пароля в нескольких файлах. Затем они были загружены в скрипт подбора, развернутый на открытом сервере, функционирующий как часть червеобразного механизма для обнаружения новых серверов или устройств IoT и добавления их в ботнет. Примечательно, что 134 из 167 паролей (~80%) принадлежали пользователям root или admin, что подчеркивает преобладание учетных данных по умолчанию.
При тестировании с использованием различных измерителей надежности паролей эти пароли постоянно получали очень низкие баллы, а общая оценка была «очень плохо».
Более подробную информацию о неправильных конфигурациях можно найти в Приложении 1 ниже.
Анализ уязвимостей
Анализ Common Vulnerability Exposure (CVE) проводился на основе скрипта, его целей и связанных портов. Хотя этот подход может иметь пробелы, мы выявили 10 CVE в различных скриптах. Самая последняя CVE, CVE-2024-27348, связана с HugeGraph и представляет собой критическую уязвимость, опубликованную в апреле 2024 года. Эта уязвимость активно эксплуатировалась злоумышленником. Остальные CVE представляют собой более старые уязвимости.Выявленные цели включают как серверы разработки, так и производственные серверы с уязвимостями. Как упоминалось ранее, злоумышленник также использует неправильно настроенные серверы Telnet, SSH и Hadoop, особенно в основных диапазонах CSP (поставщиков облачных услуг), что подчеркивает направленность их кампании. Однако большинство уязвимостей сосредоточено вокруг устройств IoT (CVE-2022-30525, CVE-2022-30075, CVE-2018-10562, CVE-2018-10561, CVE- 2018-9995, CVE-2017-18368, CVE-2017-17215, CVE-2017-17106 и CVE-2014-8361). Это подтверждает основную цель злоумышленников: компрометация устройств Интернета вещей с минимальными мерами безопасности для расширения их DDoS-ботнета, что позволит этим устройствам оставаться скомпрометированными в течение длительного времени.
Более подробную информацию о CVE можно найти в Приложении 2 ниже.
Анализ целей
Мы проанализировали файлы конфигурации, используемые сканерами, чтобы получить представление о целях и влиянии этой кампании. Этот анализ был дополнен данными из наших высокоинтерактивных honeypots, которые предоставили подробную информацию о поведении атакующего, и низкоинтерактивных honeypots, которые выявили объем сканирующей активности и типы целевых сервисов.Интересно, что злоумышленник использовал выделенные списки поставщиков облачных услуг (CSP), уделяя особое внимание их диапазонам IP-адресов. Кроме того, атаке подверглись также небольшие частные облака и компании. Например, диапазон IP-адресов Intuit был среди целей злоумышленника, наряду с устройствами IoT и многочисленными организациями в регионе Азиатско-Тихоокеанского региона, особенно в Китае и Японии.
Это говорит о том, что, хотя хакеры, намеревающиеся запустить DDoS-атаки, традиционно ассоциируются с атаками на устройства IoT, они все чаще расширяют сферу своего внимания, включая в нее диапазоны IP-адресов поставщиков коммуникационных услуг, уделяя особое внимание критической инфраструктуре как крупных, так и региональных организаций.
Рисунок 2: Круговая диаграмма диапазонов IP-адресов CSP, на которые нацелена Matrix
Интересно, что Китай и Япония оказались наиболее целевыми странами со значительным отрывом. Это может быть связано с широким распространением устройств IoT в регионе Азиатско-Тихоокеанского региона, что делает его основной целью для хакеров, стремящихся осуществить DDoS-атаки. Примечательно, что США занимают лишь 15-е место в списке целевых стран.
Предполагается, что субъект угрозы имеет российское происхождение, однако Россия полностью отсутствует в списке целей, что соответствует ожиданиям. Однако особенно удивительно отсутствие Украины в списке целей. Это говорит о том, что мотивы субъекта тесно связаны с финансовой выгодой, а не с патриотическими чувствами, что подчеркивает деловой подход к их операциям.
Рисунок 3: Анализ целевых IP-адресов на карте мира
Список потенциальных целей
На основе выявленных неверных конфигураций и уязвимостей мы составили список потенциальных целей в дикой природе. Используя Shodan — поисковую систему, которая сканирует и индексирует подключенные к интернету устройства — мы запросили и проанализировали данные, чтобы оценить количество потенциальных целей по всему миру.Наш анализ выявил почти 35 миллионов подключенных к Интернету устройств, на которых запущены целевые продукты, разыскиваемые злоумышленником. Важно отметить, что Shodan предоставляет снимок уязвимых устройств, в то время как злоумышленник активно сканирует, используя скомпрометированные серверы и устройства. Это говорит о том, что фактическое количество целей может быть еще выше.
Несмотря на большое количество идентифицированных устройств, не все из них уязвимы или неправильно настроены. Если предположить, что только 1% этих устройств пригодны для эксплуатации, потенциальный размер ботнета может достичь 350 000 устройств. Если 5% уязвимы, размер ботнета может вырасти до предполагаемых 1,7 миллиона устройств.
| Продукт | Объём |
| product:”OpenSSH” | 24,189,663 |
| “HuaweiHomeGateway” | 3,819,199 |
| “IP Camera” | 2,700,172 |
| product:”ntpd” | 1,106,481 |
| “ZTE” | 1,014,312 |
| “TP-LINK” | 866,584 |
| “DVR” | 617,672 |
| Telnet | 335,551 |
| “NVR” | 194,015 |
| “PDR-M800” | 45,413 |
| “netgear” | 41,192 |
| “OpenWRT” | 22,167 |
| “cgi-bin/luci” | 16,805 |
| “uClinux” | 6,634 |
| “HugeGraph” | 10 |
| “Hadoop” | 9 |
Для сравнения, массивные ботнеты, такие как ботнет 911-S5, достигли пика в 1,9 млн устройств, в то время как ботнеты меньшего масштаба, такие как ботнет Gorilla, достигли около 300 000 устройств. Даже в нижней части этого диапазона ботнет такого размера, контролируемый одним злоумышленником, будет представлять значительную угрозу.
Инфраструктура и набор инструментов Matrix
Matrix открыл 11/2023 учетную запись GitHub, которую он использует для загрузки вредоносных артефактов в рамках своих кампаний. Мы проанализировали учетную запись GitHub злоумышленника.
Рисунок 4: Диаграмма активности репозитория Matrix GitHub
Основным языком разработки, по-видимому, является Python, на который приходится около 40% активности, за ним следуют Shell и Golang с примерно 18% каждый, с небольшими вкладами в Java, JavaScript и Perl. Это разнообразие подчеркивает диапазон знакомства с языком, но большинство инструментов происходят из других учетных записей GitHub или веб-сайтов безопасности или взлома. Вместо того, чтобы разветвлять репозитории, инструменты загружаются и изменяются локально, что предполагает уровень настройки и адаптивности. Однако сильная зависимость от внешних скриптов отражает тенденции скрипт-кидди с акцентом на использование существующих инструментов, а не на разработку расширенных возможностей самостоятельно. Кроме того, большинство коммитов выполняется в будние дни (~95%), что указывает на работу в рабочие дни, а не на хобби и работу в выходные.
За последний год активность GitHub демонстрирует постоянную активность в широком спектре публичных проектов и технологий. Основные вехи включают в себя постоянные усилия в написании скриптов Python, Go и Shell, со значительным прогрессом в таких репозиториях, как scanner, DHJIF и 2FTS3. Эта модель активности может подчеркивать сильную направленность на создание и улучшение инструментов ботнета при изучении различных областей, включая скриптинг, сетевые проекты и автоматизацию.
Рисунок 5: Анализ активности Matrix на GitHub
Значительное внимание было уделено таким репозиториям, как scanner, gggggsgdfhgrehgregswe, musersponsukahaxuidfdffdf и DHJIF. В этих репозиториях размещены различные инструменты, предназначенные для сканирования, эксплуатации и развертывания вредоносного ПО — в первую очередь Mirai и других инструментов, связанных с DDoS, — на устройствах и серверах IoT. Кроме того, значительные усилия были направлены на репозиторий qqq, который использовался во время ранней кампании тестирования в феврале 2024 года. Эта кампания привлекла некоторое внимание в СМИ, на форумах разработчиков и на веб-сайтах по безопасности, а отчеты освещали ее активность и потенциальное влияние.
Эта первая кампания была довольно простой и прямолинейной. Основная полезная нагрузка была развернута из скрипта под названием vpn.py(приложение 3).
Рисунок 6: Содержимое скрипта vpn.py
Этот скрипт — бот Discord, предназначенный для подключения к определенным каналам и выполнения команд. Он интегрируется с Discord для обеспечения удаленного управления и отправляет сообщения на назначенные каналы при выполнении действий, таких как подключение или выполнение команд. Бот включает в себя функционал для запуска потока пакетов на основе UDP (тип атаки типа «отказ в обслуживании») против указанного IP-адреса и порта в течение заданного времени.
Вот некоторые из инструментов DoS, которые Matrix загрузил в свой аккаунт GitHub. Большинство из них также были замечены в реальных атаках.
Ботнет Mirai
Mirai — это печально известный штамм вредоносного ПО, который в первую очередь нацелен на устройства Интернета вещей (IoT), используя слабые или стандартные пароли для их взлома. После заражения эти устройства становятся частью ботнета, используемого для запуска крупномасштабных атак типа «распределенный отказ в обслуживании» (DDoS). Mirai привлек всеобщее внимание в 2016 году, когда его использовали для выполнения некоторых из крупнейших зарегистрированных DDoS-атак, вызвав широкомасштабные сбои. Его выпуск с открытым исходным кодом привел к появлению многочисленных вариантов и сделал его значительной угрозой в области кибербезопасности. Версия Matrix x86 называется x86_64, MD5: df521f97af1591efff0be31a7fe8b925.DDoS-агент
Несколько инструментов, которые были классифицированы Virus Total как Trojan.ddosagent/ddos. Несколько обнаружений в VT. В этой кампании было идентифицировано 2 Client (MD5: 76975e8eb775332ce6d6ca9ef30de3de) и Misp (MD5: 9181d876e1fcd8eb8780d3a28b0197c9).SSH Scan Hacktool
Это классификация в Virus Total для сканера SSH, который обнаруживает хосты с неправильной настройкой или уязвимым доступом SSH и запускает атаку. Matrix использует файл с именем update (MD5: c7d7e861826a4fa7db2b92b27c36e5e2).PYbot
Этот скрипт представляет собой серверный компонент ботнета под названием PYbot, предназначенный для удаленного управления несколькими скомпрометированными устройствами (ботами). Это сервер управления и контроля (C&C), который управляет связью как с ботами, так и с клиентами-операторами, позволяя проводить различные типы распределенных атак типа «отказ в обслуживании» (DDoS).PYnet
Фреймворк на основе Python в GitHub, предназначенный для создания ботнета на системах Windows и Linux, содержащий скрипт заражения, сервер загрузки и остальную часть фреймворка.DiscordGo
Проект с открытым исходным кодом GitHub под названием DiscordGo, который может развернуть ботнет Discord на системах Linux (MD5: 0e3a1683369ab94dc7d9c02adbed9d89). Он не имеет обнаружений в Virus Total, хотя он может выполнять некоторые команды DDoS, направленные на затопление целей в дикой природе.При наблюдении за двоичным файлом в Ghidra создается впечатление, что злоумышленник объединил (или использовал объединенный инструмент), содержащий как бот DiscordGo, так и возможности DDoS.
Рисунок 7: Скриншот из Ghidra, показывающий использование пакета DiscordGo
И возможности DDoS, как показано на рисунке 8 ниже.
Рисунок 8: Скриншот Ghidra, демонстрирующий возможности DDoS
Атака HTTP/HTTPS-флуда
Скрипт на основе JavaScript, реализующий распределенную атаку HTTP/HTTPS-флуд.Сеть Homo
Этот фреймворк ботнета доступен на GitHub и описан его создателями как «Лучший DDoS-ботнет в 2023 году». Репозиторий включает код, написанный в основном на Go (92,9%) и Python (5,9%), а также другие компоненты.Этот список выше демонстрирует значительную коллекцию инструментов DDoS, которые могут указывать на инновационного и высококвалифицированного злоумышленника. Однако при более внимательном рассмотрении инструменты в основном имеют открытый исходный код и общедоступны. Истинное мастерство заключается в способности эффективно интегрировать и использовать эти инструменты, что подчеркивает растущую угрозу, которую представляют скрипт-кидди с доступом к легкодоступным хакерским ресурсам.
Рисунок 9: ASCI-арт одного из инструментов DDoS
В одном из репозиториев мы также нашли скрипт, который можно использовать для проверки наличия Windows Defender, чтобы либо избежать обнаружения, либо отключить его. Он также может служить приманкой, запуская Defender, отвлекая пользователя, пока DDoS-атака продолжается в фоновом режиме.
Кроме того, Matrix также использует это playit.gg как часть своего массива серверов C2. Playit.gg— это услуга, которая позволяет пользователям размещать игровые серверы на своих персональных компьютерах без необходимости переадресации портов. Используя специальное туннельное программное обеспечение и сеть Anycast, она позволяет игрокам по всему миру безопасно и эффективно подключаться к своему серверу.
Продажа услуг через магазин Telegram
Мы обнаружили доказательства создания бота Telegram под названием Kraken Autobuy, который предназначен для автоматизированной продажи определенных планов или услуг DDoS. Эти планы закупок включают доступ к инфраструктуре, обычно используемой в распределенных атаках, в частности, нацеленной на уровень 4 (транспортный уровень) и уровень 7 (прикладной уровень), они соотносятся с инструментами, представленными в этом блоге.Покупатели могут выбирать между различными планами, включая различные уровни доступа («Basic», «Premium», «Ultima», «Business», «Elite» и «Enterprise»), которые предоставляют определенные квоты использования и временные ограничения для атак, например, 60 секунд для уровня 4 и 300 секунд для уровня 7 в базовом плане. Оплата производится криптовалютой.
Рисунок 10: Иллюстрация магазина Telegram на основе скрипта
Влияние
Основное воздействие DDoS-ботнета — отказ в обслуживании различных серверов, на которых размещаются различные онлайн-бизнесы или бэкэнд-операции. Эти ботнеты часто работают через платформы вроде Telegram, где пользователи могут платить за запуск атак через онлайн-торговый автомат. Профилирование клиентов Matrix — сложная задача, но последствия далеко идущие.Помимо непосредственных жертв DDoS-атак, значительное влияние оказывается и на компании, чьи серверы были скомпрометированы. Например, если затронутые серверы являются частью инфраструктуры поставщика облачных услуг, они могут быть деактивированы поставщиком услуг, что приведет к сбою в работе компании-жертвы. В одном известном случае вмешалось ФБР и арестовало веб-сайт, на котором размещался онлайн-торговый автомат DDoS, отключив его, чтобы предотвратить дальнейшее нецелевое использование.
Рисунок 11: ФБР арестовало этот веб-сайт после того, как он предложил услуги DDoS.
Кроме того, мы наблюдали выполнение операции по майнингу криптовалюты, специально нацеленной на монету ZEPHYR. Эта деятельность была ограничена одним репозиторием. Хотя операция по майнингу (как показано на рисунке 12 ниже) может показаться значительной, злоумышленнику удалось добыть только около 1 ZEPHYR, что в настоящее время имеет стоимость около 2,70 долларов США. Это подчеркивает относительно низкую финансовую доходность такой деятельности по майнингу в этой кампании.
Рисунок 12: Скриншот операции по майнингу криптовалюты компанией Matrix
Сопоставление кампании с платформой MITRE ATT&CK
Наше расследование показало, что злоумышленники использовали некоторые общие методы на протяжении всей кампании. Здесь мы сопоставляем каждый компонент атаки с соответствующими методами фреймворка MITRE ATT&CK:
Первоначальный доступ
- Эксплуатация общедоступного приложения: эксплуатирует уязвимости в устройствах, маршрутизаторах и серверах Интернета вещей, таких как HugeGraph (CVE-2024-27348) и прошивка Arcadyan (CVE-2021-20090).
- Действительные учетные записи: использует атаки методом подбора с предварительно скомпилированными парами «имя пользователя-пароль» (например, admin:adminи root:camera) для получения доступа к устройствам.
Исполнение
- Интерпретатор команд и сценариев — Python: развертывает сценарии оболочки, сценарии Python и ботов Discord для выполнения команд, включая команды DDoS и разведку системы.
Упорство
- Создание или изменение системного процесса: изменение процессов на устройствах и серверах IoT для долгосрочного контроля ботнета.
- Программное обеспечение Implant: устанавливает клиенты ботнетов, такие как Mirai и PYbot, для сохранения позиций и содействия постоянным атакам.
Уклонение от обороны
- Отключить или изменить инструменты: определяет и отключает Защитник Windows или другие антивирусные решения.
- Маскировка: использует внешне выглядящие легитимными скрипты и инструменты с открытым исходным кодом для сокрытия вредоносных действий.
Доступ к учетным данным
- Brute Force: выполняет атаки методом подбора паролей с использованием специально подобранных словарей для взлома учетных данных.
Открытие
- Сканирование сетевых служб: использует такие инструменты, как сканеры SSH, для выявления неправильно настроенных или уязвимых устройств.
- Обнаружение сетевых ресурсов: определяет доступные сетевые ресурсы или службы для горизонтального перемещения.
Боковое движение
- Эксплуатация удаленных служб: для распространения используются удаленные службы, такие как SSH, Telnet и Hadoop YARN.
- Перехват сеанса удаленного обслуживания — перехват SSH: итерация ключей SSH для горизонтального перемещения по сети.
Коллекция
- Данные из локальной системы: собирает конфиденциальные данные, такие как файлы конфигурации и учетные данные, из скомпрометированных систем или проверяя базы данных (SQLlite).
Командование и контроль
- Веб-сервис: использует такие платформы, как Telegram и Playit.gg, для управления коммуникациями ботнета и продажи услуг по атакам.
- Зашифрованный канал: устанавливает защищенную связь с использованием ботов Discord и других методов шифрования.
Влияние
- Перехват ресурсов: проводит операции по майнингу криптовалют, хотя и с минимальной финансовой выгодой (добыто ~1 ZEPHYR стоимостью 2,70$).
- Атака на истощение ресурсов: выполняет DDoS-атаки 4-го и 7-го уровней, чтобы подавить целевые серверы.
Обнаружение и смягчение последствий
Кампания Matrix в некоторой степени представляет собой эскалацию DDoS-атак, демонстрируя адаптивность и масштаб современных субъектов угроз. Исследователи Aqua Nautilus наблюдали эту операцию через срабатывающие honeypots, раскрывая сложную и развивающуюся кампанию. Matrix использует разнообразный набор инструментов, эксплойтов и инфраструктуры, нацеливаясь на уязвимости в устройствах IoT, облачных сервисах и корпоративных системах.Кампания характеризуется масштабным использованием общедоступных скриптов, что подчеркивает растущую угрозу, которую представляют так называемые скрипт-кидди, которые могут интегрировать и использовать эти инструменты для значимых атак. Хотя первоначальный доступ часто достигается с помощью атак методом подбора и использования известных уязвимостей, Матрикс демонстрирует ориентированность на бизнес, используя скомпрометированные устройства для DDoS-атак и продавая свои услуги через магазин ботов Telegram.
Наш анализ выявил широкий спектр используемых уязвимостей, включая CVE, нацеленные на устройства IoT, маршрутизаторы и корпоративные серверы. Кроме того, неправильно настроенные устройства и слабые учетные данные усиливают охват кампании, потенциально затрагивая миллионы устройств по всему миру.
Платформа приложений Cloud Native Application Platform (CNAPP) от Aqua предлагает вам великолепные решения для среды выполнения, чтобы защитить вашу облачную среду. Она позволяет вам сканировать вашу среду, включая ваш код, образы контейнеров и облачные рабочие нагрузки, и обнаруживать угрозы, такие как известные уязвимости, скрытое вредоносное ПО, скрытые секреты, ошибки конфигурации и проблемы с лицензиями на открытый исходный код.
Еще одно превосходное решение, которое может помочь в этом сценарии, — это Dynamic Threat Analysis (DTA) от Aqua. DTA специально разработан для выполнения контейнеров в среде песочницы, раскрывая любые скрытые угрозы, такие как атаки на цепочку поставок, которые могут возникнуть из-за вредоносного пакета или всего образа контейнера. В этом контексте DTA может использоваться в качестве песочницы аналитиками Security Operation Center (SOC) или Incident Response (IR) для анализа вредоносного ПО Linux.
Этот вариант использования довольно прост. Имея доступ к репозиториям GitHub, мы можем продемонстрировать, как специалисты могут использовать DTA Aqua для анализа вредоносного ПО Linux в контейнерных средах.
Чтобы продемонстрировать возможности DTA, мы используем ubuntu:latest в качестве базового образа, а в entrypoint.shскрипте мы клонировали scannerрепозитории DHJIF и выполнили несколько скриптов эксплойта и сканирования. Эта симуляция представляет собой сценарий, в котором вредоносное ПО внедряется во время выполнения контейнера.
Как показано в Dockerfile ниже, мы используем ubuntu:latest в качестве базового образа и запускаем скрипт оболочки точки входа.
Рисунок 13: Наш Dockerfile
Как показано на рисунке 14 ниже, мы клонируем репозитории scannerи DHJIFдля имитации ситуации, когда злоумышленник не помещает вредоносное ПО внутрь контейнера, это похоже на атаку цепочки поставок, когда вредоносное ПО загружается с удаленного сервера. Таким образом, мы также можем узнать о вредоносном ПО и скрипте Matrix в среде песочницы.
Рисунок 14: Наш файл entrypoint.sh
При просмотре главной страницы результатов вы можете увидеть, что образ контейнера не соответствует требованиям, но только из-за политики DTA. Другие политики, такие как уязвимости и конфиденциальные данные, не приводят к сбою контейнера. Это имеет смысл, поскольку базовый образ — ubuntu:latest.
Рисунок 15: Платформа Aqua, страница результатов сканирования изображений
На рисунке 16 ниже вы можете видеть, что нет никаких критических или высоких уязвимостей. В большинстве случаев инженеры по безопасности передадут образ контейнера, и он будет разрешен для запуска в производственных средах. Однако политика DTA основана на другом подходе. Выполнение образа контейнера в песочнице и наблюдение за любым дрейфом или скрытыми вредоносными фрагментами, выполненными.
Рисунок 16: Платформа Aqua, существенных уязвимостей в образе контейнера нет
В качестве примечания, вредоносное ПО не обязательно должно быть получено с удаленного сервера. Оно может возникнуть как зашифрованная атака на цепочку поставок, непреднамеренно внедренная разработчиками, которая находится в состоянии покоя и ждет, когда ее можно будет нанести в производственных средах.
Однако в этом случае DTA показывает другой результат. На рисунке 17 ниже вы можете увидеть 12 результатов из операции Dynamic Threat Analysis. Выявление вредоносного ПО в контейнере.
Рисунок 17: Платформа Aqua, результаты DTA
На рисунке 18 ниже вы можете увидеть, что DTA обнаружил 10 вредоносных файлов, сброшенных во время выполнения контейнера.
Рисунок 18: Платформа Aqua, результаты DTA
На рисунке 19 ниже вы можете наблюдать связь с GitHub. Хотя такая связь по своей сути не является подозрительной, не рекомендуется загружать какие-либо файлы или ресурсы во время выполнения. Такое поведение должно быть отмечено как потенциально подозрительное и проверено инженером по безопасности, чтобы убедиться, что оно не представляет угрозы безопасности.
Рисунок 19: Платформа Aqua, результаты DTA
Приложение 1 – Используемые неверные конфигурации
- IP-камеры (например, Hikvision, VStarcam, универсальные IP-камеры): учетные данные, такие как root:hikvision, root:hi3518, admin:ipcam_rt5350, root:IPCam@sw, root:hslwificam, vstarcam2015:20150602и root:camera предлагают нацеливаться на IP-камеры, которые часто используют учетные данные по умолчанию для настройки.
- Цифровые видеорегистраторы (DVR) и сетевые видеорегистраторы (NVR): такие учетные данные, как «admin:dvr2580222», «root:dvr», «root:cam1029», и « admin:CenturyL1nk», предполагают наличие устройств DVR, которые часто подключаются к системам видеонаблюдения и используют учетные данные по умолчанию.
- Маршрутизаторы и модемы (например, Netgear, ZTE, Vodafone, Huawei): такие учетные данные root:Zte521, как root:zte9x15, admin:vodafone, admin:QwestM0dem, admin:netgear1, и root:hg2x0подразумевают, что эти учетные данные предназначены для маршрутизаторов и модемов потребителей с паролями по умолчанию.
- Телекоммуникационное оборудование и шлюзы: некоторые учетные данные связаны с поставщиками телекоммуникационных услуг или общими именами пользователей телекоммуникационных устройств, например admin:ZmqVfoSIP, root:zhongxing (ссылка на ZTE или другие телекоммуникационные устройства) и telnetadmin:telnetadmin.
- Встраиваемые устройства и платы разработки (использующие uClinux, другие прошивки): записи, подобные этому, root:uClinuxподразумевают, что эти целевые устройства представляют собой встраиваемые устройства, работающие под управлением облегченного дистрибутива Linux, часто используемые в устройствах Интернета вещей или платах разработки.
- Другие устройства Интернета вещей и сетевое оборудование: такие учетные данные default:tlJwpbo6, как default:OxhlwSG8, и default:S2fGqNFsобычно связаны с настройками по умолчанию на ряде устройств Интернета вещей, включая устройства для умного дома и сетевые устройства.
- Общие интерфейсы администратора для сетевых устройств: учетные данные, такие как admin:admin, root:founder88, admin:/ADMIN/, и admin:samsungотражают часто используемые учетные данные по умолчанию для веб-интерфейсов или доступа к консоли на различных устройствах.
- Вход через Telnet с учетными данными по умолчанию.
- Перебор по SSH.
- hadoop/unauthorized-yarn: эксплуатация Apache Hadoop YARN (Yet Another Resource Negotiator), технологии управления ресурсами, обычно используемой в кластерах Hadoop. YARN ResourceManager имеет REST API, который этот скрипт пытается использовать для выполнения удаленной команды на целевой системе
- Маршрутизаторы Huawei и другие сетевые устройства, использующие встроенный веб-интерфейс для административного доступа. Конкретные пути login.gch, manager_dev_ping_t.gch, getpage.gch?pid=1001&logout=1 часто являются конечной точкой входа в веб-портал управления устройства на порту 8083.
- Сетевой протокол времени (NTP): неправильная конфигурация сетевых устройств с открытой конечной точкой /boafrm/formNtp, которая обычно связана с маршрутизаторами и устройствами IoT, имеющими веб-интерфейс администрирования, использующий веб-сервер Boa.
Приложение 2 – Используемые уязвимости
- CVE-2024-27348: эксплуатация уязвимости в Apache HugeGraph Server, в частности гипотетической, которая может позволить удаленное выполнение кода (RCE) через конечную точку сервера Gremlin.
- CVE-2022-30525: Уязвимость внедрения команд ОС в CGI-программу прошивки Zyxel USG FLEX 100(W).
- CVE-2022-30075: эта уязвимость CVE затрагивает определенные маршрутизаторы TP-Link, позволяя неаутентифицированным пользователям манипулировать параметрами конфигурации, потенциально внедряя команды.
- CVE-2018-10562: эта уязвимость позволяет внедрять команды на маршрутизаторах GPON (Gigabit-capable Passive Optical Networks) с помощью веб-сервера Boa через административный интерфейс веб-сервера Boa. Внедряя команды с помощью определенных параметров, злоумышленники могут выполнять произвольные команды в базовой операционной системе с привилегиями root, что позволяет им получить контроль над устройством.
- CVE-2018-10561: эта уязвимость позволяет злоумышленникам обходить аутентификацию на маршрутизаторах GPON (Gigabit-capable Passive Optical Networks) с помощью веб-сервера Boa, добавляя определенные параметры к URL-адресу. Она позволяет получить несанкционированный доступ к конфиденциальным страницам и административным функциям веб-интерфейса маршрутизатора, таким как страницы конфигурации, из-за небезопасных механизмов контроля доступа.
- CVE-2018-9995: Нацеливание на цифровые видеорегистраторы (DVR) для эксплуатации уязвимостей в определенных устройствах DVR, использующих платформу Hi3520. В коде мы наблюдаем HTTP-запросы к конечным точкам, таким как /dvr/cmd, без предварительной аутентификации.
- CVE-2017-18368: уязвимость внедрения команд в маршрутизаторах ZTE, с помощью которой злоумышленники могут использовать конечные точки, аналогичные показанным выше, для внедрения вредоносных команд и получения контроля над устройством.
- CVE-2017-17215: Уязвимость удаленного выполнения кода, влияющая на некоторые маршрутизаторы Huawei. Эта уязвимость позволяет злоумышленникам использовать уязвимость внедрения команд в функциональность DeviceUpgrade, отправляя специально созданные запросы на конечную точку /ctrlt/DeviceUpgrade_1 на порту 37215.
- CVE-2017-17106: Учетные данные для веб-камер Zivif PR115-204-P-RS V2.3.4.2103 могут быть получены неаутентифицированным удаленным злоумышленником с помощью стандартного веб-запроса HTTP /cgi-bin/hi3510/param.cgi?cmd=getuser. Эта уязвимость существует из-за отсутствия проверок аутентификации в запросах к страницам CGI.
- CVE-2014-8361: влияет на маршрутизаторы с открытой службой Universal Plug and Play (UPnP), в частности через действие AddPortMapping службы WANIPConnection.
Приложение 3
Признаки компрометации (IOC)
| Тип | Оценка | Комментарий |
|---|---|---|
| IP Addresses | ||
| IP Address | 199.232.46.132 | C2 server |
| IP Address | 5.42.78.100 | C2 server |
| IP Address | 78.138.130.114 | C2 Discord server |
| IP Address | 85.192.37.173 | Download server |
| IP Address | 5.181.159.78 | Download server |
| IP Address | 217.18.63.132 | Download server |
| Domains | ||
| sponsored-ate.gl.at.ply.gg | C2 server | |
| Files | ||
| Binary file | MD5: df521f97af1591efff0be31a7fe8b925 | Mirai malware |
| Binary file | MD5: 9c9ea0b83a17a5f87a8fe3c1536aab2f | RiskWare/Win32.Kryptik.a |
| Binary file | MD5: 0e3a1683369ab94dc7d9c02adbed9d89 | Discord DDoS Botnet |
| Binary file | MD5: c7d7e861826a4fa7db2b92b27c36e5e2 | hacktool.sshscan/virtool |
| Binary file | MD5: 53721f2db3eb5d84ecd0e5755533793a | trojan.siggen/casdet |
| Binary file | MD5: d653fa6f1050ac276d8ded0919c25a6f | trojan.gafgyt/mirai |
| Binary file | MD5: 866c52bc44c007685c49f5f7c51e05ca | trojan.gafgyt/mirai |
| Binary file | MD5: 76975e8eb775332ce6d6ca9ef30de3de | trojan.ddosagent/ddos |
| Binary file | MD5: 5a66b6594cb5da4e5fcb703c7ee04083 | trojan.sdjwg |
| Binary file | MD5: c332b75871551f3983a14be3bfe2fe79 | miner.camelot/juiav |
Источник
