En ukendt hackinggruppe udnytter en tidligere ukendt malware kaldet Ttint, der er kategoriseret som en IoT-specifik trojan. Hvad vi ved er, at hackerudviklerne bruger to nul-dags sårbarheder til at trænge ind på målenhederne. Sikkerhedsanalysen har ført til en efterforskning, således afslører svaghederne i to udstationerede rådgivninger: CVE-2018-14558 og CVE-2020-10987. Fra de fangede prøver, det ser ud til, at malware er baseret på Mirai-kode.
CVE-2018-14558 & CVE-2020-10987 Brugt som mekanismer til at levere Ttint IoT Trojan
En ny og farlig IoT Trojan angriber enheder over hele verden. Ifølge den frigivne kodeanalyse, det er baseret på Mirai-koden og udviklet af en ukendt hacking-gruppe. Ligesom andre vira i denne kategori, når en enkelt infektion er sket, vil den automatisk forsøge at trænge ind på andre lignende værter, derved opretter et stort botnet-netværk i processen. Af denne grund, sådanne angrebskampagner betragtes som meget effektive, hvis der foretages korrekt konfiguration og mål.
Infiltrationer med denne særlige malware foretages ved hjælp af den typiske tilgang til direkte angreb netværk — hackerne bruger automatiske rammer, der er fyldt med de nødvendige sårbarheder. Hvis målnetværkene ikke sendes, sker infektioner automatisk. En af grundene til, at disse indtrængen blev betragtet som kritiske i deres skadepotentiale, er, at svaghederne blev mærket som “zero-day”, de var ukendte før infektionerne.
De første angreb blev opdaget i november 2019, da Ttint IoT Trojan blev lanceret mod Tenda routerejere. Denne første instans brugte de to sårbarheder, og offentliggørelse blev offentliggjort i juli 2020. Den anden angrebsbølge blev udført i august 2020, igen mod Tenda-enheder. Ttint Trojan er fokuseret på at bruge disse to råd:
- CVE-2018-14558 — Der blev opdaget et problem på Tenda AC7-enheder med firmware gennem V15.03.06.44_CN(AC7), AC9-enheder med firmware gennem V15.03.05.19(6318)_CN(AC9), og AC10-enheder med firmware gennem V15.03.06.23_CN(AC10). En sårbarhed med kommandainjektion tillader angribere at udføre vilkårlige OS-kommandoer via en udformet goform / setUsbUnload-anmodning. Dette sker, fordi “formsetUsbUnload” funktion udfører en dosystemCmd-funktion med ikke-betroet input.
- CVE-2020-10987 — Goform / setUsbUnload slutpunkt for Tenda AC15 AC1900 version 15.03.05.19 tillader fjernangribere at udføre vilkårlige systemkommandoer via enhedens POST-parameter.
Ifølge de tilgængelige oplysninger er de fleste af angrebene mod ofre i Sydamerika.
Ttint IoT Trojan-kapaciteter
Tting Iot Trojan er baseret på Mirai og inkluderer som sådan en lignende infektionssekvens. Mens det inkluderer den samme distribuerede denial-of-service-tilgang, hackerne har også implementeret en ekstra 12 kontrolinstruktioner.
Når infektionen køres på de berørte computere, vil en af de første handlinger være at skjul virussporene fra at blive opdaget. Dette gøres ved at overvåge operativsystemet med det formål at lede efter eventuelle installerede sikkerhedssystemer. Hvis der findes nogen, vil trojaneren forsøge at deaktivere dem, dette fungerer for programmer og tjenester såsom antivirusprogrammer, firewalls, virtuelle maskiner værter og etc. Denne malware-motor kan slette sig selv, hvis den ikke overgår disse programmer.
Når Trojan findes på et givet system, forhindrer det systemet i at genstarte, dette er et eksempel på en vedholdende installation. Dette er forsætligt og adskiller sig fra andre lignende trusler, der kun starter virussen, når enheden tændes.
De faktiske navne, hvorunder processerne forbundet med malware fungerer, omdøbes, dette er et forsøg på at skjule deres tilstedeværelse. Alle konfigurationsfiler og data tilknyttet dens funktion er krypteret, gør dem kun tilgængelige for hackerne. Nogle af de forskellige træk ved Ttint IoT Trojan er følgende:
- Avanceret trojansk operation - Det lokalt installerede agentprogram opretter forbindelse til en hackerstyret server og giver fjernangribere mulighed for fuldt ud at overtage kontrollen over enhederne. Men, i stedet for at bruge en standardforbindelse, denne særlige virus bruger en websocket-protokol, som gør det meget vanskeligt at spore pakkerne.
- Brug af proxyserver - Kommunikationen mellem den lokale computer og den eksterne hackerstyrede server videresendes via en proxyserver, der drives af de kriminelle.
- Netværksadgang kapring - Malware genkonfigurerer vigtige konfigurationsfiler på målenhederne. Da de for det meste er routere, vil de kriminelle have fuld adgang til brugernes netværksadgang.
- Netværkseksponering - Ved at omskrive firewallreglerne vil truslen være i stand til at udsætte de ellers private tjenester, der er implementeret på maskinerne bag det interne netværk.
- Opgradering - Med givne intervaller vil den vigtigste malware kontrollere, om der er en ny version af den frigivet. Det kan automatisk opdatere til nyere iterationer.
Ligesom andre vira i denne kategori, det er i stand til kapre følsomme oplysninger fra værtsenheden, inklusive de tilgængelige hardwarekomponenter. De indsamlede data vil blive rapporteret til kriminelle under netværksoverførsel.
En komplet liste over de indbyggede implementerede kommandoer er følgende:
attack_udp_generic, angreb_udp_vse, angreb_udp_dns, attack_udp_plain, atack_tcp_flag, attack_tcp_pack, angreb_tcp_xmas, angreb_grep_ip, angreb_grep_eth, angreb_app_http, kør kommandoen “nc”, kør kommandoen “ls”, udføre systemkommandoer, manipulation med routerens DNS, Rapporter enhedsoplysninger, Konfigurer iptables, kør kommandoen “ifconfig”, selvudgang, Åbn Socks5-proxy, Clos Socks5 proxy, Selvopgradering, omvendt skal
I dette øjeblik er den bedste afhjælpning at opgradere til den nyeste tilgængelige firmware fra producenten af enheden. I øjeblikket telt er den eneste kendte producent af målrettede enheder. I betragtning af omfanget af angrebene og den omfattende liste over funktioner, vi forventer, at fremtidige angreb vil målrette mod en bredere vifte af IoT-enheder.
Martin Beltov
Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.
Følg mig: